发布日期：2002-07-17
更新日期：2002-07-26

受影响系统：

Apache Group Apache 2.0.35
Apache Group Apache 2.0.34-BETA win32
Apache Group Apache 2.0.32-BETA win32
Apache Group Apache 2.0.32
Apache Group Apache 2.0.28-BETA win32
Apache Group Apache 2.0.28-BETA
Apache Group Apache 2.0.28
Apache Group Apache 2.0

不受影响系统：

Apache Group Apache 2.0.39
Apache Group Apache 2.0.36

描述：

---

BUGTRAQ  ID: 5256
CVE(CAN) ID: CVE-2002-1592

Apache httpd是一款非常流行的开放源码的WEB服务器程序。

Apache httpd 版本2.0到2.0.35在处理ap_log_rerror()函数实现存在漏洞，远程攻击者可以利用这个漏洞获得WEB服务程序的绝对路径信息。

Apache httpd 2.0到2.0.35版本中的ap_log_rerror()函数用于记录服务器错误，由于ap_log_rerror()函数实现存在漏洞，远程攻击者可以通过一些有问题的CGI脚本触发这个漏洞，造成服务器返回包含WEBROOT目录绝对路径信息给攻击者。攻击者可以利用这个漏洞进一步对系统进行攻击。

<*来源：Apache httpd Release 2.0 Changelog
  *>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经在新版本的2.0.36及其以上版本的软件中修复了这个安全问题，请到厂商的主页下载：

Apache Group Upgrade Apache httpd 2.0.39
http://www.apache.org/dist/httpd/

浏览次数：3551
严重程度：0（网友投票）