漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-085141
漏洞标题:Apache某后台设计不当可以登入获取大量敏感信息
相关厂商:Apache
漏洞作者: px1624
提交时间:2014-11-29 17:49
修复时间:2014-12-03 09:24
公开时间:2014-12-03 09:24
漏洞类型:系统/服务运维配置不当
危害等级:高
自评Rank:12
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-11-29: 细节已通知厂商并且等待厂商处理中
2014-12-03: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
再来一发,这么牛逼的公司会来乌云认领么?感觉会提高我的漏洞忽略率诶。。。
Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件。
Apache HTTP Server是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上。
官网:http://www.apache.org/
详细说明:
JIRA配置问题:
1 可以对外网访问。2 可以匿名者访问查看项目详细。3 可以任意人进行注册登录。
泄漏后台地址:https://issues.apache.org/jira/secure/Dashboard.jspa
后台使用了默认配置,可以点击Sign Up注册。
注册地址:https://issues.apache.org/jira/secure/Signup!default.jspa
注册后登录后台系统,敏感信息一览无余。
更多敏感信息这里就不再详细截图了。
漏洞证明:
如上。
修复方案:
去掉可以任意人注册的配置,去掉项目信息可匿名访问的配置。后台最好放VPN里。
版权声明:转载请注明来源 px1624@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-12-03 09:24
厂商回复:
根据wiki百科对项目的描述,应属于正常业务应用,http:///general/ApacheJira 暂不认定为漏洞,未列入处置流程。
最新状态:
暂无