受影响的系统: redhat linux 7.0

描述:
--------------------------------------------------------------------------------

bugtraq id: 3335

随同red hat linux 7.0一起发布的apache存在一个配置错误，导致远程攻击者可能列
举该主机上存在的用户。

如果远程攻击者发送一个如下请求的话，
http://www.example.com/~
那么一般会有以下三种情况：

1.如果用户存在，并且配置好了自己的个人主页，那么服务器返回该用户的首页。
2.如果用户存在，但是还没有配置自己的个人主页，那么服务器返回：
"you dont have permission to access /~username on this server."
3.如果用户不存在，那么服务器返回：
"the requested url /~username was not found on this server."

利用不同情况返回不同错误信息，导致远程攻击者可能列举主机用户名。

<*来源：alexander a. kelner （akson@tts.debryansk.ru）
参考：
http://archives.neohapsis.com/archives/bugtraq/2001-09/0111.html
*>

--------------------------------------------------------------------------------
建议:
我们建议你安装补丁程序之前，采用如下临时解决方法：

1.关闭缺省打开的“userdir”选项
% echo userdir disabled >> /var/www/conf/httpd.conf

2.替换路径名url
% echo errordocument 404 http://localhost/sample.html >>
/var/www/conf/httpd.conf
% echo errordocument 403 http://localhost/sample.html >>
/var/www/conf/httpd.conf
% sudo apachectl restart

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：
http://www.redhat.com

文章整理：站长天空 网址：http://www.z6688.com/
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!