当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-031189

漏洞标题:apache官网存在由于apache配置不当引起的轻度信息泄漏

相关厂商:上海征途信息技术有限公司

漏洞作者: D&G

提交时间:2013-07-22 12:09

修复时间:2013-07-27 12:09

公开时间:2013-07-27 12:09

漏洞类型:系统/服务运维配置不当

危害等级:低

自评Rank:1

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-07-22: 细节已通知厂商并且等待厂商处理中
2013-07-27: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

apache官网存在由于apache配置不当引起的信息泄漏。1,2,3,4,5,

详细说明:

http://www.apache.org/server-status
server-status没有限制访问,导致信息泄漏。

apache1.png


apache2.png


apache3.png


泄漏的信息点:
1,Apache Server Status for www.apache.org (via 140.211.11.131) 这个说明泄露了真实ip,不过经过测试apache也没有做cdn,应该有做负载均衡,有时候刷新,这个说明的ip会变成另外一个,经测试直接访问ipapache的主页。
2,Server uptime: 3 days 4 hours 48 minutes 43 seconds
Server load: 8.24 8.77 9.57
Total accesses: 35420283 - Total Traffic: 1706.5 GB
CPU Usage: u4146.86 s1566 cu0 cs0 - 2.07% CPU load
128 requests/sec - 6.3 MB/second - 50.5 kB/request
88 requests currently being processed, 552 idle workers
性能信息,看起来才跑了3天,经常挂么难道。流量1700G,很是惊人。。。
3,58.179.141.82 wiki-online.apache.org:80 GET /wiki/modernized/img/moin-www.png
client 泄露了客户端的ip,在有一些场景下,客户端ip也是隐私,不应该泄漏。
4,vhost 泄露了apache上跑得多个网站。这个对渗透的信息收集也是很有用处的。比如各种旁站啥的。可以看到wiki-online.apache.org:80 www.apache.org:80 archive.apache.org:80 httpd.apache.org:80 www.openoffice.org:80 。都是跑在这上面的。原来openofffice也在这里。
5,泄露了url。某些禁止搜索引擎收录的url都会真实的现实出来。比如,是不是可以通过对url的长期分析来找管理后台。
本文纯属YY,不当之处还请指正。

漏洞证明:

apache1.png

修复方案:

限制访问ip

版权声明:转载请注明来源 D&G@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-07-27 12:09

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2013-07-19 11:17 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    管理员辛苦了。轻度。我以后一定更加精确的描述

  2. 2013-07-20 06:57 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    莫非是昨天群里讨论的那个?

  3. 2013-07-23 09:20 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    @VIP 求群。。。

  4. 2013-07-24 17:41 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    @xsser 这事什么状况,怎么变成 别的公司了

  5. 2013-07-26 13:32 | D&G ( 普通白帽子 | Rank:523 漏洞数:103 | going)

    @疯狗 这个厂商错了吧~~

  6. 2013-07-29 15:58 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    apache官网成中国公司维护了?