Red Hat Linux Apache 遠程列舉用戶名漏洞

受影響的系統: RedHat Linux 7.0

描述:
--------------------------------------------------------------------------------

BUGTRAQ ID: 3335

隨同Red Hat Linux 7.0一起發布的Apache存在一個配置錯誤，導致遠程攻擊者可能列
舉該主機上存在的用戶。

如果遠程攻擊者發送一個如下請求的話，
~
那么一般會有以下三種情況：

1.如果用戶存在，并且配置好了自己的個人主頁，那么服務器返回該用戶的首頁。
2.如果用戶存在，但是還沒有配置自己的個人主頁，那么服務器返回：
"You don@#t have permission to aclearcase/" target="_blank" >ccess /~username on this server."
3.如果用戶不存在，那么服務器返回：
"The requested URL /~username was not found on this server."

利用不同情況返回不同錯誤信息，導致遠程攻擊者可能列舉主機用戶名。

<*來源：Alexander A. Kelner （）
參考：

*>

--------------------------------------------------------------------------------
建議:
我們建議你安裝補丁程序之前，采用如下臨時解決方法：

1.關閉缺省打開的“UserDir”選項
% echo @#UserDir Disabled@# >> /var/www/conf/httpd.conf

2.替換路徑名URL
% echo @#ErrorDocument 404 >>
/var/www/conf/httpd.conf
% echo @#ErrorDocument 403 >>
/var/www/conf/httpd.conf
% sudo apachectl restart

廠商補?。?

目前廠商還沒有提供補丁或者升級程序，我們建議使用此軟件的用戶隨時關注廠商
的主頁以獲取最新版本：

原文轉自：http://www.kjueaiud.com