DCP-Portal DCP-Portal`da bulunan bir açık sayesinde, herhangi bir kullanıcı web kök
dizininin tam yolunu ve diğer hassas bilgileri görebilir.



Advisory Bilgisi
----------------
Ad : DCP-Portal Hassas Bilgileri Sızdırma Açığı
Yazılım Paketi : DCP-Portal
Dağıtıcının Adresi : [Only Registered Users Can See Links] ([Only Registered Users Can See Links])
Etkilenen Versiyonlar : v4.2, v4.1 final, v4.0 final, v3.7 ve muhtemelen diğerleri
Platform : Linux
Açık Tipi : Tasarım Hatası
Bilgilendirme Tarihi : 09/şubat/2002
Eski Problemler : N/A
Son Versiyon : 4.2 (etkileniyor)

Özet
----
DCP-Portal, güncelleme, link, dosya, kullanıcı yönetimi, oylama, takvim,
vb. ileri özellikler içeren bir içerik yönetim sistemidir. Ana özellikleri
arasında, tüm siteyi kontrol etmek için bir yönetim paneli, haber, içerik
ve duyuru eklemek için akıllı bir HTML düzenleyicisi ve kullanıcı katılımını
sağlayan fonksiyonlar yer alır.
Açık kaynak kodlu ve FreshMeat tarafından da desteklenen bir projedir.

DCP-Portal`da bulunan bir açık sayesinde, herhangi bir kullanıcı web kök
dizininin tam yolunu ve diğer hassas bilgileri görebilir.

Açıklama
--------
Herhangi bir kullanıcı, 'add_user.php' için bir HTTP isteğinde bulunursa,
sistem, web kök dizinine olan yolu da içeren bir hata sayfası getirecektir.
Uzaktaki saldırgan bu bilgiyi, etkilenen sisteme karşı yapacağı ilerideki
saldırıları için kullanabilir.

Örnek:
[Only Registered Users Can See Links] ([Only Registered Users Can See Links])

Bu bize;
'Warning: Cannot add header information - headers already sent by (output
started at /home/usr/[Only Registered Users Can See Links]) in
/home/usr/[Only Registered Users Can See Links] on line 16'
mesajını getirecektir.

Çözüm
-----
Programın dağıtıcısı bu açığın varlığını doğruladı ve yeni çıkarttığı v4.5`te
bu sorunu gidermiş bulunuyor.

Download için [Only Registered Users Can See Links] ([Only Registered Users Can See Links])