漏洞关键信息 漏洞名称: RedHat Stronghold Secure Server File System Disclosure Vulnerability 漏洞代码: VIGILANTE-2001002 发布时间: November 23, 2001 受影响的系统: Stronghold/3.0 Apache/1.3.19 RedHat/3014 (Unix) PHP/3.0.18 mod_ssl/2.8.1 OpenSSL/0.9.6 mod_perl/1.25 不受影响的系统: Stronghold/3.0 build 3015 问题描述: 在 Redhat Stronghold 2.3 到 3.0 版本中,存在一个漏洞,允许远程攻击者披露敏感系统文件(包括 httpd.conf 文件),在使用特定功能时,如果服务器状态报告的受限访问未启用。 攻击者可以通过以下 URL 获取敏感信息: - http://target/stronghold-info: 显示配置信息 - http://target/stronghold-status: 返回请求列表等其他信息 修复措施: 安装 Stronghold/3.0 build 3015 可解决此问题。 CVE: 已联系 Common Vulnerabilities and Exposures 组,以获取候选编号。 发现者: 该漏洞由 Madalina Andrei 和 Reda Zitouni 发现,他们是 Vigilante 的 Safety Watch Team 成员。 其他信息: 已添加测试案例到 SecureScan NX,在 2001 年 11 月 23 日的升级包中,可在 SecureScan NX 网站上查看。