English

◀◁ 뒤로 취약점ID 22146 위험도 30 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 해당 웹서버의 /doc/packages 디렉토리의 내용이 리스팅 된다. 외부의 임의의 사용자가 웹서버로 특별한 URL ("http://hosts.any/doc/packages/")을 전송함으로써 S.u.S.E 6.3 이나 6.4 시스템에 설치된 패키지의 리스트를 얻을 수 있다. 이 문제는 S.u.S.E에 공급된 Apache httpd.conf 에서 이 웹 root의 서브 디렉토리로부터 문서들을 아무에게나 허용하도록 한 설정환경 때문이다. 이 결과, 공격자들이 대상 시스템에 어떤 패키지가 설치되어 있는지를 알 수 있게 해 주며, 더 정교한 공격들을 수행할 수 있는 데에도 도움을 줄 수 있다. * 참고 사이트: http://online.securityfocus.com/bid/1707 http://www.iss.net/security_center/static/5276.php * 영향을 미치는 플랫폼: SuSE Linux 6.3, 6.4 해결책 Apache 설정 파일을 수정하여 웹서버 상의 /doc 디렉토리에 대한 액세스를 제한하여야 한다. Apache 설정 파일을 수정하기 위해서는: Apache 설정 파일 (/etc/httpd/httpd.conf)을 열고 다음 문장을 찾는다 (라인 801): <Directory /usr/doc> Options FollowSymLinks Indexes +Includes AllowOverride None </Directory> 다음 문장으로 텍스트를 교체한다: <Directory /usr/doc> order deny,allow deny from all allow from localhost Options Indexes FollowSymLinks +Includes AllowOverride None </Directory> 관련 URL CVE-2000-1016 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)