通过默认的Apache脚本进行信息披露

作为默认Apache安装的一部分,安装了两个默认cgi-bin脚本printenv和test-cgi。 Oracle在11i的安装中包括了这些脚本。该脚本提供了有关安装的信息,可以在攻击中使用该信息。

完整性安全警报

______________________________________________________________________

 

通过默认的Apache脚本进行信息披露

2002年7月11日

______________________________________________________________________

 

概要:

 

作为默认Apache安装的一部分,安装了两个默认cgi-bin脚本printenv和test-cgi。 Oracle在11i的安装中包括了这些脚本。该脚本提供了有关安装的信息,可以在攻击中使用该信息。

 

产品:    Oracle电子商务套件

版本:   11.5.x-所有版本

平台:   All platforms

风险等级:

______________________________________________________________________

 

描述:

 

Oracle iAS基于公共域Web服务器Apache。在默认的Apache安装中,有两个调试的cgi-bin脚本-printenv和test-cgi。在早期版本中,test-cgi脚本容易受到多种攻击。在11i支持的此版本的Apache和iAS中,这两个脚本都不是危险的,但它们都可以向潜在的攻击者提供信息。

 

以下是一些可能提供的信息的示例-

 

打印环境

 FND_TOP = / u01 / dev1appl / fnd / 11.5.0

 ORACLE_HOME = / u01 / dev1ora / 8.0.6

 FORMS60_WEB_CONFIG_FILE = / u01 / dev1comn / html / bin / appsweb.cfg

 PATH = / u01 / dev1ora / iAS / Apache / Apache / bin:/ u01 / dev1ora / iAS / bin:/ u01 ...

 

测试CGI

 SERVER_SOFTWARE = Apache / 1.3.9(Unix)ApacheJServ / 1.1 mod_perl / 1.21

 

要访问脚本,URL是

 

  http://<host name>:<port number>/cgi-bin/printenv

  http://<host name>:<port number>/cgi-bin/test-cgi

 

解:

 

删除对httpds.conf(或Windows NT / 2000中的httpd.conf)中默认cgi-bin目录的引用,该目录位于<sid>iAS / Apache / Apache / conf目录。

 

这些脚本可能对调试有用,因此建议注释掉httpds.conf中的部分。该部分将显示如下-

 

  #

 #ScriptAlias:该控件控制哪些目录包含服务器脚本。

 #ScriptAliases本质上与Aliases相同,除了

 实名目录中的#个文档被视为应用程序,

#在请求时由服务器运行,而不是作为文档发送到

# 客户端。

#关于尾随“ /”的相同规则适用于ScriptAlias指令,如下所示:  

# 至

  # Alias.

  #

 ScriptAlias / cgi-bin /“<iAS home path>/ iAS / Apache / Apache / cgi-bin /“

  #

#“ / usr / local / apache / cgi-bin”应该更改为任何

#ScriptAliased

 #CGI目录存在(如果已配置)。

  #

  <Directory "<iAS home path>/ iAS / Apache / Apache / cgi-bin”>

   AllowOverride None

   Options None

   Order allow,deny

   Allow from all

  </Directory>

  #

 

在“ ScriptAlias”和“目录”部分的所有行之前放置一个“#”。

 

使用adapcctl.sh脚本停止并重新启动Apache,以便重新加载httpds.conf。

 

附加信息:

 

证书漏洞说明VU#717827

 

______________________________________________________________________

 

关于Integrigy公司 ( www.katsenatps.com )

 

整合学 Corporation是大型企业,关键任务应用程序的应用程序安全性的领导者。我们的应用程序漏洞评估工具AppSentry可帮助公司保护最大,最重要的应用程序。 整合咨询 为领先的ERP和CRM应用程序提供安全评估服务。

 

有关更多信息,请访问 www.katsenatps.com .

 

 

分享这个帖子