当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-018003

漏洞标题:某些政府网站泄露网站备份文件,可能会被利用到入侵

相关厂商:各地政府网站

漏洞作者: 

提交时间:2013-01-29 13:57

修复时间:2013-03-15 13:58

公开时间:2013-03-15 13:58

漏洞类型:敏感信息泄露

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-01-29: 细节已通知厂商并且等待厂商处理中
2013-02-02: 厂商已经确认,细节仅向厂商公开
2013-02-12: 细节向核心白帽子及相关领域专家公开
2013-02-22: 细节向普通白帽子公开
2013-03-04: 细节向实习白帽子公开
2013-03-15: 细节向公众公开

简要描述:

在微博上看到乌云君的微博,http://e.weibo.com/1981622273/zg6fqc5VA
CHINAZ的源码泄露,于是就去扫了扫*.gov.cn的备份文件,也有所发现!

详细说明:

某些网站管理员在对网站进行备份的时候,将备份文件放置在了WEB目录下,备份后忘记删除,导致网站的源码泄露,甚至进行进一步的攻击!
只测试了一部分的文件,因为文件太大了,我这里网络环境不好。
其中说一说第一个,里面是一个MDB数据库的备份,管理员密码明文,虽然是2012年3月的备份但是现在依然可以登录!
其他的麻烦CNCERT自行测试!

漏洞证明:

http://ycwater.gov.cn/db.rar 5.35M 2012-03-01 内为MDB数据库,内赠账号密码!
http://www.yhgjj.gov.cn/wwwroot.rar 583M 2012-08-30
http://www.uyc.gov.cn/web.rar 403M 2012-12-14
http://www.tnet.gov.cn/db.rar 457.6M 2012-10-22 db.bak
http://www.jsszyq-n-tax.gov.cn/web.rar 306M 2012-11-15
http://www.jsszyq-n-tax.gov.cn/1.zip 70.4M 2011-09-22 MDF文件
http://www.hami.gov.cn/data.zip 837M
http://www.fjedu.gov.cn/1.rar 99.6M
http://www.cqspbfy.gov.cn/2.rar 1.37M
http://www.cqspbfy.gov.cn/data.rar 37.9M
http://www.cqspbfy.gov.cn/web.rar 29.7M
http://www.ahpfpc.gov.cn/1.rar 2.66M
http://mw.0437.gov.cn/data.rar 203KB
http://mw.0437.gov.cn/1.rar 10.3M
http://mail.cqeport.gov.cn/web.rar 6.33M

修复方案:

备份完后及时删除备份文件!

版权声明:转载请注明来源 @乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-02-02 21:24

厂商回复:

CNVD确认并复现所述情况,并对涉及的地市级政府网站进行了重点测试,发现部分网站存在敏感配置信息泄露情况,已转由CNCERT浙江、新疆、福建、重庆、江苏等分中心协调涉事单位处置。
rank 15

最新状态:

暂无