Bug 20191 - Trailing Slash Information Disclosure Vulnerability
Summary: Trailing Slash Information Disclosure Vulnerability
Status: CLOSED NOTABUG
Alias: None
Product: Sisyphus
Classification: Development
Component: lighttpd (show other bugs)
Version: unstable
Hardware: all Linux
: P3 blocker
Assignee: Alexei Takaseev
QA Contact: qa-sisyphus
URL: http://redmine.lighttpd.net/issues/1989
Keywords: security
Depends on:
Blocks:
 
Reported: 2009-05-26 23:15 MSD by Vladimir Lettiev
Modified: 2009-05-27 10:03 MSD (History)
1 user (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Vladimir Lettiev 2009-05-26 23:15:15 MSD 
В lighttpd обнаружена проблема, приводящая к утечке информации. Если добавить завершающий слэш / после .php (.rb или другого скрипта) и этот файл является символической ссылкой, то отобразиться содержимое файла.

В багтрекере доступен патч, решающий проблему: http://redmine.lighttpd.net/attachments/download/926/stat_cache.c.2.patch
Comment 1 Vladimir V. Kamarzin 2009-05-27 09:19:22 MSD 
Обновлено darix 4 дня назад
Статус параметр изменился с New на Invalid

operating system bug:
http://www.freebsd.org/cgi/query-pr.cgi?pr=kern/21768

...

affected: FreeBSD, OSX, Solaris < 10
not affected: Linux, NetBSD, OpenBSD, DragonflyBSD, Solaris 10
Comment 2 Vladimir Lettiev 2009-05-27 10:03:34 MSD 
ойк, слона-то я и не приметил... )