安全研究
安全漏洞
Apache 重写规则绕过图象链接漏洞
发布日期:2001-08-12
更新日期:2001-08-17
受影响系统:
Apache Group Apache 1.3.20
Apache Group Apache 1.3.19
- Sun Solaris 8.0
- Sun Solaris 7.0
- SGI IRIX 6.5.9
- SGI IRIX 6.5.8
- S.u.S.E. Linux 7.1
- S.u.S.E. Linux 7.0
- S.u.S.E. Linux 6.4
- RedHat Linux 7.1
- RedHat Linux 7.0
- RedHat Linux 6.2
- OpenBSD OpenBSD 2.9
- OpenBSD OpenBSD 2.8
- NetBSD NetBSD 1.5.1
- NetBSD NetBSD 1.5
- MandrakeSoft Linux Mandrake 8.0
- MandrakeSoft Linux Mandrake 7.2
- MandrakeSoft Linux Mandrake 7.1
- HP HP-UX 11.11
- HP HP-UX 11.0
- HP HP-UX 10.20
- FreeBSD FreeBSD 4.2
- FreeBSD FreeBSD 3.5.1
- Digital (Compaq) TRU64/DIGITAL UNIX 5.0
- Digital (Compaq) TRU64/DIGITAL UNIX 4.0g
- Digital (Compaq) TRU64/DIGITAL UNIX 4.0f
+ Debian Linux 2.3
- Caldera eServer 2.3.1
- Caldera eDesktop 2.4
- Caldera OpenLinux 2.4
Apache Group Apache 1.3.17
+ S.u.S.E. Linux 7.1
+ OpenBSD OpenBSD 2.8
Apache Group Apache 1.3.14
+ MandrakeSoft Linux Mandrake 7.2
描述:
BUGTRAQ ID:3176
Apache是一个免费和广泛使用的Web服务器,由Apache Server Project发布和维护。
如果Apache重写规则是下列格式的话:
RewriteCond %{HTTP_REFERER} !^http://www\.yoursite\.com.*$
RewriteRule ^/images/.* - [G]
那么就可能绕过重写规则。上面的规则没有过滤对“/image”的请求,允许远程站点链
接图象,这可能导致主机负载的提高,甚至可能导致拒绝服务攻击。
<*来源:Jeff Workman (
jworkman@pimpworks.org)*>
建议:
修改重写规则如下:
RewriteCond %{HTTP_REFERER} !^http://www\.yoursite\.com$
RewriteRule ^/*images/*.* - [G]
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本:
http://www.apache.org
浏览次数:14836
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |