发布日期：2001-11-08
更新日期：2001-11-13

受影响系统：

Apache Apache 1.3.11
Apache Apache 1.3.12
Apache Apache 1.3.14
Apache Apache 1.3.17
Apache Apache 1.3.18
Apache Apache 1.3.19
Apache Apache 1.3.20

描述：

---

BUGTRAQ ID: 3521

Apache 是一款广泛流行，开放源代码的HTTP Server，其发布中包含一个
“mod_usertrack”模块，用来为单独的Web会话和请求产生唯一的标适符。该模块存在
一个安全问题，可能允许攻击者预测session ID。

这是由于该模块使用了客户IP地址，系统时间和服务器进程ID来计算session ID的，因
此该session ID不是随机的，是可预测的。

<*来源：David Endler
  参考：http://www.idefense.com/papers.html
*>

建议：

---

临时解决方法：
如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 确保应用程序使用了安全的“session ID”生成机制

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：
http://www.apache.org/

浏览次数：3575
严重程度：0（网友投票）