漏洞信息详情
Apache 2.0 for Windows目录遍历漏洞
- CNNVD编号:CNNVD-200208-118 <!--
- 危害等级: 高危-->
- 危害等级: 高危
- CVE编号: CVE-2002-0661
- 漏洞类型: 输入验证
- 发布时间: 2002-08-12
- 威胁类型: 远程
- 更新时间: 2006-04-07
- 厂 商: apache
- 漏洞来源: Auriemma Luigi※ al...
-
漏洞简介
Apache是一款广泛流行的开放源代码的WEB服务程序。 Apache 2.0.40以前的for windows版本中存在一个目录遍历漏洞,远程攻击者可以利用这个漏洞获得服务器上任意文件内容甚至执行系统命令。 Apache 2.0.x for windows没有正确检查\'\'\\'\'( == \\%5c)字符,攻击者可能利用这个字符来进行目录遍历攻击。攻击者可能获取与apache同一驱动器下的任意系统文件内容,如果存在可执行目录,例如/cgi-bin,攻击者甚至可以执行任意系统命令。 Unix和其他平台的Apache Web服务程序不受此漏洞影响,Cygwin用户受到此漏洞影响。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 编辑httpd.conf文件,在第一个'Alias'或者'Redirect'指示前,增加如下全局服务配置:
RedirectMatch 400 "\\\.\."
* 使用UNIX版本的Apache。 厂商补丁: Apache Group ------------ 目前厂商已经发布了2.0.40以修复这个安全问题,请到厂商的主页下载最新版本:
http://www.apache.org/dist/httpd/
参考网址
来源: httpd.apache.org 链接:http://httpd.apache.org/info/security_bulletin_20020908a.txt 来源: BID 名称: 5434 链接:http://www.securityfocus.com/bid/5434 来源: XF 名称: apache-access-data(9808) 链接:http://www.iss.net/security_center/static/9808.php 来源: BUGTRAQ 名称: 20020816 Apache 2.0.39 directory traversal and path disclosure bug 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=102951160411052&w=2 来源: BUGTRAQ 名称: 20020809 Apache 2.0 vulnerability affects non-Unix platforms 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=102892744011436&w=2
受影响实体
- Apache Http_server:2.0.34:Beta:Win32<!--2000-1-1-->
- Apache Http_server:2.0.32:Beta:Win32<!--2000-1-1-->
- Apache Http_server:2.0.28<!--2000-1-1-->
- Apache Http_server:2.0.28:Beta<!--2000-1-1-->
- Apache Http_server:2.0<!--2000-1-1-->
补丁
- Apache 安全漏洞的修复措施<!--2002-8-12-->
还没有评论,来说两句吧...