VULHUB ™

Gentoo Linux是一个基于源码包的Linux系统。 Gentoo的www-servers/thttpd软件包实现上存在漏洞，远程攻击者可能利用此漏洞非授权获取敏感信息。 如果在新的Gentoo baselayout中使用start-stop-daemon命令的话，就会导致thttpd在启动时将文档根设置为系统的根目录“/”，这允许非授权用户远程访问thttpd进程可读的所有系统文件。 Gentoo Linux 1.12.6 临时解决方法： * 在/etc/conf.d/thttpd的THTTPD_OPTS变量后包含-d选项指定文件根，或者修改THTTPD_OPTS变量使用-C选项指定thttpd.conf文件，然后在thttpd.conf文件中配置dir=指令。 厂商补丁： Gentoo ------ Gentoo已经为此发布了一个安全公告（GLSA-200701-28）以及相应补丁: GLSA-200701-28：thttpd: Unauthenticated remote file access 链接：<a href="http://security.gentoo.org/glsa/glsa-200701-28.xml" target="_blank">http://security.gentoo.org/glsa/glsa-200701-28.xml</a> 所有thttpd用户都应升级到最新版本： # emerge --sync # emerge --ask --oneshot --verbose &quot;&gt;=www-servers/thttpd-2.25b-r5&quot;

Gentoo Linux是一个基于源码包的Linux系统。 Gentoo的www-servers/thttpd软件包实现上存在漏洞，远程攻击者可能利用此漏洞非授权获取敏感信息。 如果在新的Gentoo baselayout中使用start-stop-daemon命令的话，就会导致thttpd在启动时将文档根设置为系统的根目录“/”，这允许非授权用户远程访问thttpd进程可读的所有系统文件。 Gentoo Linux 1.12.6 临时解决方法： * 在/etc/conf.d/thttpd的THTTPD_OPTS变量后包含-d选项指定文件根，或者修改THTTPD_OPTS变量使用-C选项指定thttpd.conf文件，然后在thttpd.conf文件中配置dir=指令。 厂商补丁： Gentoo ------ Gentoo已经为此发布了一个安全公告（GLSA-200701-28）以及相应补丁: GLSA-200701-28：thttpd: Unauthenticated remote file access 链接：<a href="http://security.gentoo.org/glsa/glsa-200701-28.xml" target="_blank">http://security.gentoo.org/glsa/glsa-200701-28.xml</a> 所有thttpd用户都应升级到最新版本： # emerge --sync # emerge --ask --oneshot --verbose &quot;&gt;=www-servers/thttpd-2.25b-r5&quot;