DotBr config.inc远程信息泄露漏洞

2011-2-24 10:32:36 来源:网络转载 浏览:156
DotBr config.inc远程信息泄露漏洞
影响版本:
DotBr 0.1

程序介绍:

Dotbr是一款由PHP编写脚本程序。

漏洞分析:

Dotbr的配置文件由于没有正确使用PHP文件扩展名,远程攻击者可以利用这个漏洞获得系统配置信息,利用这些信息进一步对系统进行攻击。
DotBr使用config.inc文件作为系统配置文件,但是没有正确使用PHP文件扩展名,因此请求此文件会被WEB服务器直接显示而不经过PHP解析器处理,导致信息泄露,如数据库密码等,攻击者可以利用这些信息进一步对系统进行攻击。

解决方案:
临时解决方法:
如果您不能立刻安装补丁或者升级,建议您采取以下措施以降低威胁:
* 把config.inc改名为config.inc.php3。

厂商补丁:
DotBr
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://dotbr.org

(0)
(0)