发布日期：2003-01-22
更新日期：2003-01-29

受影响系统：

Apache Software Foundation Apache 2.0.43
Apache Software Foundation Apache 2.0.42
Apache Software Foundation Apache 2.0.41
Apache Software Foundation Apache 2.0.40
Apache Software Foundation Apache 2.0.39
Apache Software Foundation Apache 2.0.38
Apache Software Foundation Apache 2.0.37
Apache Software Foundation Apache 2.0.36

不受影响系统：

Apache Software Foundation Apache 2.0.44

描述：

---

BUGTRAQ  ID: 6661

Apache Web Server是一款开放源代码的HTTP服务程序。

Apache WEB服务程序对目录使用扩展名的文件请求解析存在问题，远程攻击者可以利用这个漏洞绕过已经存在的默认映射。

此漏洞影响所有平台下的Apache系统。如下面的URI请求：

http://localhost/folder.php/file

Apache会以明文方式解析'file'，并简单地返回给请求浏览器。但是在Apache的映射算法中存在一个检查错误，可导致'php'扩展与这个请求相关联，因此会使Apache以PHP脚本解析'file'文件。利用这个检查错误可绕过已经存在的默认映射。

<*来源：Matthew Murphy （mattmurphy@kc.rr.com）
  
  链接：http://lists.netsys.com/pipermail/full-disclosure/2003-January/003653.html
*>

建议：

---

厂商补丁：

Apache Software Foundation
--------------------------
目前厂商已经在新版的软件中修复了这个安全问题，请到厂商的主页下载：

http://www.apache.org/dist/httpd/

浏览次数：2931
严重程度：0（网友投票）