由于没有一个通用标准的防御规则保护好中间件配置信息、DNS信息、业务数据信息、用户信息、源码备份文件、版本管理工具信息、系统错误信息和敏感地址信息(后台或测试地址)的泄露,攻击者可能会通过收集这些保护不足的数据,利用这些信息对系统实施进一步的攻击。
#1 信息泄露原因
由于UC论坛管理员在更新服务器文件时,未注意到编辑器会默认创建各种.bak文件用来规避错误编辑时引发的数据丢失风险,从而造成了更严重的信息安全问题。
#2 泄露地址
网站: http://bbs.uc.cn 存在信息泄露
网址:http://bbs.uc.cn/config/config_global.php.bak
网址:http://bbs.uc.cn/uc_server/data/config.inc.php.bak
#3 泄露内容
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2013-11-05 16:36
厂商回复:
漏洞的确存在,已联系运维及研发处理,非常感谢猪猪侠提交的漏洞信息。
最新状态:
2013-11-05:漏洞已修改,再次感谢猪猪侠!
2013-11-05:漏洞已修复,再次感谢猪猪侠!