리눅스

Apache 2.0 파일구조 노출 취약점

김선달 작성
작성일 2002.08.22 12:03

2,224 조회
0 추천
목록

======================
KA-2002-78: Apache 2.0 Path Disclosure Vulnerability
----------------------

최초작성일 : 2002-08-21
갱 신 일 :
출 처 : CIAC(Computer Incident Advisory Capability) - Information Bulletin
작 성 자 : 윤승노(snyoon@certcc.or.kr)

-- 제목 --------------
Apache 2.0 파일구조 노출 취약점

-- 해당 시스템 --------
Unix계열이 아닌 운영체제(Windows, OS2,Netware 등)에 설치된 Apache 2.0

-- 영향 -----------------
본 취약점은 해당 시스템의 매우 민감한 정보(파일구조)를 노출시킨다.

-- 설명 ---------------
본 취약점은 unix계열을 제외한 운영체제 상에 탑재된 Apache2.0.39 이하 버전에서 발견되는 취약점이다.
(CYGWIN을 이용하여 컴파일 된 아파치에서 나타난다.)
Apache가 특정 코드를 실행시키는 도중 오류가 발생하는 경우, 해당 스크립트의 절대 경로를 노출시키는 취약점을 가지고 있다.

-- 해결책 ---------------
Apache 설정파일 중 하나인 httpd.conf파일에 다음의 한줄을 추가하는 것만으로 본 취약점을 보완할 수 있다.
단, 'Alias' 또는 'Redirect' 옵션이 최초로 명기된 라인보다 상단에 추가하여야 한다.

RedirectMatch 400 "\.."

Apache 2.0.40버전 이후로는 본 취약점이 수정되어 배포되고 있다.

최신버전의 Apache를 다운받을 수 있는곳 :
http://www.apache.org/dist/httpd

------- 참조 사이트 --------------------------
http://httpd.apache.org/info/security_bulletin_20020809a.txt
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0661
----------------------------------------------

--------------------------------------------------------------
한국정보보호진흥원(Korea Information Security Agency),
Computer Emergency Response Team Coordination Center , CERTCC-KR
전화: 118 (지방 02-118) Email: cert@certcc.or.kr
==============================================================

---------------------------------------------------------------------

Mr. Seung-No Yoon
Member of Technical Staff / CISA / CISSP
Anti Hacking & Virus Consulting Center
Information Infrastructure Protection Division
Korea CERT Coordination Center / Korea Information Security Agency

Tel : 82-2-4055-503 , Fax : 82-2-4055-519
e-mail : snyoon@kisa.or.kr

---------------------------------------------------------------------
CERTCC-KR Security Incident Report and Help desk Contact Point
e-mail : cert@certcc.or.kr
hotline(24/365) : 82-2-118
---------------------------------------------------------------------

이전

레드햇7.0을깔고나서 pico 명령어가 안됩니다..

작성일 2002.08.22 12:22
다음

랜카드 두개의 문제...

작성일 2002.08.22 11:28

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

메뉴
검색
클라우드포털

Apache 2.0 파일구조 노출 취약점

공지사항

뉴스광장

작성자 정보

컨텐츠 정보

본문

관련자료

공지사항

뉴스광장