发布日期：2001-06-11
更新日期：2001-06-15

受影响系统：

Apache Group Apache 1.3.14Mac
   - Apple MacOS X 10.0.3
   - Apple MacOS X 10.0.2
   - Apple MacOS X 10.0.1
   - Apple MacOS X 10.0

描述：

---

BUGTRAQ  ID: 2852
CVE(CAN) ID: CAN-2001-0766

当使用MacOS X Client访问Apache服务器时存在安全漏洞。MacOS X的标准文件系统是
HFS+，它对大小写是不敏感的，而Apache对大小写的过滤是大小写敏感的。

因此，Apache只能过滤精确匹配的请求，却不会过滤大小写混合或全是大写的请求，而
HFS+是大小写不敏感的，这就导致这些被”过滤“的请求成功响应。

<*来源：Stefan Arentz (stefan.arentz@soze.com)*>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Stefan Arentz (stefan.arentz@soze.com)提供了如下测试代码：

GET /test/index.html
403 Forbidden错误，拒绝访问

GET /TeSt/index.html
成功访问该页面



建议：

---

目前有以下三种临时解决方法：

1.使用MacOS X Server
2.采用UFS文件系统
3.在受保护的目录里增加.htaccess文件，内容如下：
  Order deny,allow
  Deny from all
  修改httpd.conf文件，受保护目录设置为：
  AllowOverride Limit AuthConfig
  或
  AllowOverride All
  并增加下列内容：
  <Files ~ "^\.(ht|HT|Ht|hT)">
  Order allow,deny
  Deny from all
  </Files>

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：

http://www.apple.com/macosx/server/


浏览次数：3823
严重程度：0（网友投票）