发布日期：2001-08-12
更新日期：2001-08-17

受影响系统：

Apache Group Apache 1.3.20
Apache Group Apache 1.3.19
   - Sun Solaris 8.0
   - Sun Solaris 7.0
   - SGI IRIX 6.5.9
   - SGI IRIX 6.5.8
   - S.u.S.E. Linux 7.1
   - S.u.S.E. Linux 7.0
   - S.u.S.E. Linux 6.4
   - RedHat Linux 7.1
   - RedHat Linux 7.0
   - RedHat Linux 6.2
   - OpenBSD OpenBSD 2.9
   - OpenBSD OpenBSD 2.8
   - NetBSD NetBSD 1.5.1
   - NetBSD NetBSD 1.5
   - MandrakeSoft Linux Mandrake 8.0
   - MandrakeSoft Linux Mandrake 7.2
   - MandrakeSoft Linux Mandrake 7.1
   - HP HP-UX 11.11
   - HP HP-UX 11.0
   - HP HP-UX 10.20
   - FreeBSD FreeBSD 4.2
   - FreeBSD FreeBSD 3.5.1
   - Digital (Compaq) TRU64/DIGITAL UNIX 5.0
   - Digital (Compaq) TRU64/DIGITAL UNIX 4.0g
   - Digital (Compaq) TRU64/DIGITAL UNIX 4.0f
   + Debian Linux 2.3
   - Caldera eServer 2.3.1
   - Caldera eDesktop 2.4
   - Caldera OpenLinux 2.4
Apache Group Apache 1.3.17
   + S.u.S.E. Linux 7.1
   + OpenBSD OpenBSD 2.8
Apache Group Apache 1.3.14
   + MandrakeSoft Linux Mandrake 7.2

描述：

---

BUGTRAQ ID：3176

Apache是一个免费和广泛使用的Web服务器，由Apache Server Project发布和维护。

如果Apache重写规则是下列格式的话：

RewriteCond %{HTTP_REFERER} !^http://www\.yoursite\.com.*$
RewriteRule ^/images/.* - [G]

那么就可能绕过重写规则。上面的规则没有过滤对“/image”的请求，允许远程站点链
接图象，这可能导致主机负载的提高，甚至可能导致拒绝服务攻击。

<*来源：Jeff Workman （jworkman@pimpworks.org）*>

建议：

---

修改重写规则如下：

RewriteCond %{HTTP_REFERER} !^http://www\.yoursite\.com$
RewriteRule ^/*images/*.* - [G]

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：
http://www.apache.org


浏览次数：14836
严重程度：0（网友投票）