アイ・ディフェンス・ジャパンからの情報によると、Apacheの不正な仮想ホスト上で動作しているScrewdriver Access Technologies社のTWIG(The Web Information Gateway)アプリケーションは、リモートでのコマンド実行に対して脆弱である。正しく構成されたTWIGインス
国際
16views
アイ・ディフェンス・ジャパンからの情報によると、Apacheの不正な仮想ホスト上で動作しているScrewdriver Access Technologies社のTWIG(The Web Information Gateway)アプリケーションは、リモートでのコマンド実行に対して脆弱である。正しく構成されたTWIGインストレーションは、index.php3、test.php3、goto.php3の3つのファイルへのアクセスしか許可しない。その他のファイルは全て/featuresの以下の.htaccessファイルの使用を介して下層のApacheウェブサーバーによって保護される。しかし、Apacheでは、仮想ホスト構成の"AllowOverride AuthConfig"ディレクティブが省略される誤りが非常に多い。この誤りにより、攻撃者は安全でないファイルに直接アクセスできる。
