通过默认的Apache脚本进行信息披露

完整性安全警报

______________________________________________________________________

通过默认的Apache脚本进行信息披露

2002年7月11日

______________________________________________________________________

概要：

作为默认Apache安装的一部分，安装了两个默认cgi-bin脚本printenv和test-cgi。 Oracle在11i的安装中包括了这些脚本。该脚本提供了有关安装的信息，可以在攻击中使用该信息。

产品：    Oracle电子商务套件

版本：   11.5.x-所有版本

平台：   All platforms

风险等级： 低

______________________________________________________________________

描述：

Oracle iAS基于公共域Web服务器Apache。在默认的Apache安装中，有两个调试的cgi-bin脚本-printenv和test-cgi。在早期版本中，test-cgi脚本容易受到多种攻击。在11i支持的此版本的Apache和iAS中，这两个脚本都不是危险的，但它们都可以向潜在的攻击者提供信息。

以下是一些可能提供的信息的示例-

打印环境

 FND_TOP = / u01 / dev1appl / fnd / 11.5.0

 ORACLE_HOME = / u01 / dev1ora / 8.0.6

 FORMS60_WEB_CONFIG_FILE = / u01 / dev1comn / html / bin / appsweb.cfg

 PATH = / u01 / dev1ora / iAS / Apache / Apache / bin：/ u01 / dev1ora / iAS / bin：/ u01 ...

测试CGI

 SERVER_SOFTWARE = Apache / 1.3.9（Unix）ApacheJServ / 1.1 mod_perl / 1.21

要访问脚本，URL是

  http://<host name>:<port number>/cgi-bin/printenv

  http://<host name>:<port number>/cgi-bin/test-cgi

解：

删除对httpds.conf（或Windows NT / 2000中的httpd.conf）中默认cgi-bin目录的引用，该目录位于<sid>iAS / Apache / Apache / conf目录。

这些脚本可能对调试有用，因此建议注释掉httpds.conf中的部分。该部分将显示如下-

  #

 ＃ScriptAlias：该控件控制哪些目录包含服务器脚本。

 ＃ScriptAliases本质上与Aliases相同，除了

 实名目录中的＃个文档被视为应用程序，

＃在请求时由服务器运行，而不是作为文档发送到

＃ 客户端。

＃关于尾随“ /”的相同规则适用于ScriptAlias指令，如下所示：  

＃ 至

  # Alias.

  #

 ScriptAlias / cgi-bin /“<iAS home path>/ iAS / Apache / Apache / cgi-bin /“

  #

＃“ / usr / local / apache / cgi-bin”应该更改为任何

＃ScriptAliased

 ＃CGI目录存在（如果已配置）。

  #

  <Directory "<iAS home path>/ iAS / Apache / Apache / cgi-bin”>

   AllowOverride None

   Options None

   Order allow,deny

   Allow from all

  </Directory>

  #

在“ ScriptAlias”和“目录”部分的所有行之前放置一个“＃”。

使用adapcctl.sh脚本停止并重新启动Apache，以便重新加载httpds.conf。

附加信息：

证书漏洞说明VU＃717827

______________________________________________________________________

关于Integrigy公司 ( www.katsenatps.com )

整合学 Corporation是大型企业，关键任务应用程序的应用程序安全性的领导者。我们的应用程序漏洞评估工具AppSentry可帮助公司保护最大，最重要的应用程序。 整合咨询 为领先的ERP和CRM应用程序提供安全评估服务。

有关更多信息，请访问 www.katsenatps.com .