安全研究
安全漏洞
Apache Web Server 2.0以上版本CGI错误远程路径泄露漏洞
发布日期:2002-07-17
更新日期:2002-07-26
受影响系统:Apache Group Apache 2.0.35
Apache Group Apache 2.0.34-BETA win32
Apache Group Apache 2.0.32-BETA win32
Apache Group Apache 2.0.32
Apache Group Apache 2.0.28-BETA win32
Apache Group Apache 2.0.28-BETA
Apache Group Apache 2.0.28
Apache Group Apache 2.0
不受影响系统:Apache Group Apache 2.0.39
Apache Group Apache 2.0.36
描述:
BUGTRAQ ID:
5256
CVE(CAN) ID:
CVE-2002-1592
Apache httpd是一款非常流行的开放源码的WEB服务器程序。
Apache httpd 版本2.0到2.0.35在处理ap_log_rerror()函数实现存在漏洞,远程攻击者可以利用这个漏洞获得WEB服务程序的绝对路径信息。
Apache httpd 2.0到2.0.35版本中的ap_log_rerror()函数用于记录服务器错误,由于ap_log_rerror()函数实现存在漏洞,远程攻击者可以通过一些有问题的CGI脚本触发这个漏洞,造成服务器返回包含WEBROOT目录绝对路径信息给攻击者。攻击者可以利用这个漏洞进一步对系统进行攻击。
<*来源:Apache httpd Release 2.0 Changelog
*>
建议:
厂商补丁:
Apache Group
------------
目前厂商已经在新版本的2.0.36及其以上版本的软件中修复了这个安全问题,请到厂商的主页下载:
Apache Group Upgrade Apache httpd 2.0.39
http://www.apache.org/dist/httpd/浏览次数:3551
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |