漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-07951
漏洞标题:虾米网服务器敏感信息泄露
相关厂商:虾米网
漏洞作者: ReJeCt
提交时间:2012-06-06 15:19
修复时间:2012-07-21 15:19
公开时间:2012-07-21 15:19
漏洞类型:重要敏感信息泄露
危害等级:中
自评Rank:10
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-06-06: 细节已通知厂商并且等待厂商处理中
2012-06-06: 厂商已经确认,细节仅向厂商公开
2012-06-16: 细节向核心白帽子及相关领域专家公开
2012-06-26: 细节向普通白帽子公开
2012-07-06: 细节向实习白帽子公开
2012-07-21: 细节向公众公开
简要描述:
虾米网DNS ns2.xiami.com存在域传送漏洞,导致泄露所有2级域名,后发现有使用zabbix作为运维管理平台,但未严格配置访问权限,导致可任意浏览服务器相关信息。
详细说明:
1988 A 122.225.11.131
api A 122.225.11.153
blog A 122.225.11.148
data A 122.225.11.153
dev A 122.225.11.135
img A 122.224.143.164
img A 122.224.143.166
img A 122.225.11.147
img A 122.225.11.153
kuang A 122.225.11.136
kuang A 122.225.11.153
loop A 122.225.11.136
loop A 122.225.11.153
m A 122.225.11.131
m6-9 A 122.224.143.164
mail A 122.225.11.150
mp3 A 122.224.143.164
mp3-cnc A 122.224.102.139
mp3-cnc-3-9 A 122.224.102.139
mp3-src A 202.91.240.2
msn A 122.225.11.153
mx1 A 122.225.11.147
mx11 A 122.225.11.135
mx13 A 122.225.11.137
mx14 A 122.225.11.138
mx2 A 122.225.11.148
mx29 A 122.225.11.153
mx3 A 202.91.240.88
mx30 A 122.225.11.154
mx31 A 122.225.11.155
mx4 A 122.224.143.164
mx42 A 122.225.11.142
mx5 A 122.225.11.133
mx6 A 122.225.11.149
mx7 A 122.225.11.131
mx77 A 122.225.11.150
mx8 A 122.225.11.132
mx95 A 122.225.11.134
ns1 A 122.225.11.150
ns2 A 122.224.143.164
ns3 A 221.12.127.150
p1 A 122.225.11.130
p2 A 122.225.11.146
p3 A 122.225.11.145
p4 A 122.225.11.143
p5 A 122.225.11.144
s1 A 122.225.11.149
s2 A 122.225.11.135
sio A 122.225.11.133
st A 122.225.11.155
stat A 122.225.11.148
static A 122.225.11.148
top A 122.225.11.131
tw A 122.225.11.137
up A 192.168.1.10
www A 122.225.11.137
www A 122.225.11.138
xihu A 122.225.11.131
xy1test A 192.168.1.235
xy2test A 192.168.1.236
xy3test A 192.168.1.201
zabbix A 122.225.11.153
漏洞证明:
修复方案:
都懂的呗。
版权声明:转载请注明来源 ReJeCt@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2012-06-06 15:57
厂商回复:
最新状态:
暂无