アイ・ディフェンス・ジャパンからの情報によると、Apacheの不正な仮想ホスト上で実行された場合、Screwdriver Access Technologies社のTWIG(The Web Information Gateway)アプリケーションはリモートコマンド実行に対して脆弱である。通常、index.php3、test.php3、
国際
20views
アイ・ディフェンス・ジャパンからの情報によると、Apacheの不正な仮想ホスト上で実行された場合、Screwdriver Access Technologies社のTWIG(The Web Information Gateway)アプリケーションはリモートコマンド実行に対して脆弱である。通常、index.php3、test.php3、goto.php3の3つのファイルへのアクセスのみ許可され、その他のファイルは下層のApacheウェブサーバーが/featuresで.htaccessファイルを使用することにより、保護される。しかし、Apache設定では非常によくあるミスだが、下層ホストの構成で"AllowOverride AuthConfig"ディレクティブが欠落することがある。この些細な誤りにより、攻撃者は安全を欠くファイルに直接アクセスできる。
