Bug 20191

Summary: Trailing Slash Information Disclosure Vulnerability
Product: Sisyphus Reporter: Vladimir Lettiev <crux>
Component: lighttpdAssignee: Alexei Takaseev <taf>
Status: CLOSED NOTABUG QA Contact: qa-sisyphus
Severity: blocker    
Priority: P3 CC: taf
Version: unstableKeywords: security
Hardware: all   
OS: Linux   
URL: http://redmine.lighttpd.net/issues/1989

Description Vladimir Lettiev 2009-05-26 23:15:15 MSD 
В lighttpd обнаружена проблема, приводящая к утечке информации. Если добавить завершающий слэш / после .php (.rb или другого скрипта) и этот файл является символической ссылкой, то отобразиться содержимое файла.

В багтрекере доступен патч, решающий проблему: http://redmine.lighttpd.net/attachments/download/926/stat_cache.c.2.patch
Comment 1 Vladimir V. Kamarzin 2009-05-27 09:19:22 MSD 
Обновлено darix 4 дня назад
Статус параметр изменился с New на Invalid

operating system bug:
http://www.freebsd.org/cgi/query-pr.cgi?pr=kern/21768

...

affected: FreeBSD, OSX, Solaris < 10
not affected: Linux, NetBSD, OpenBSD, DragonflyBSD, Solaris 10
Comment 2 Vladimir Lettiev 2009-05-27 10:03:34 MSD 
ойк, слона-то я и не приметил... )