home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / unix / httpexpl.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  1006 b   |  29 lines
  1.  
  2. Known Affected Systems:
  3.         Linux 1.2.8 using NCSA HTTPd 1.5a
  4.  
  5. Description:
  6.  
  7.         The InterNetwork Operating Company has discovered a security hole
  8. related to Linux 1.2.8 and NCSA HTTPd 1.5a.  In affected systems, the
  9. NCSA server, running as nobody/nogroup is able to access any files that are
  10. mode ?00 (readable only by owner).
  11.  
  12.         The security hole is known to occur through symbolic links as
  13. well as through aliases specified in the srm.conf file.
  14.  
  15.         It is known that through properly placed symbolic links, it is
  16. possible to obtain the shadow password file, user mail files, etc.  This
  17. is extermely important for public Internet Service Providers that provide
  18. users with WWW space.
  19.  
  20.         This same security hole has been tested on BSDI 2.0.1, which does
  21. not appear to be affected.  It has not yet been tested on other systems
  22. or with other http servers.
  23.  
  24.                 jnelson@internoc.com
  25.                 John Nelson
  26.                 The InterNetwork Operating Company, Inc.
  27.  
  28. 
  29.