发布日期：2004-02-07
更新日期：2004-02-12

受影响系统：

Apache-SSL Apache-SSL 1.52

不受影响系统：

Apache-SSL Apache-SSL 1.53

描述：

---

BUGTRAQ  ID: 9590
CVE(CAN) ID: CVE-2004-0009

Apache是一款开放源代码WEB服务程序，其中可通过SSL对通信进行加密。

Apache-SSL在部分配置情况下存在问题，远程攻击者可以利用这个漏洞伪造客户端证书进行认证。

如果把SSLVerifyClient设置为1或3(客户端证书可选)及SSLFakeBasicAuth，Apache-SSL 1.3.28+1.52及之前版本允许客户端使用实际BASIC验证来伪造客户端证书。

所有攻击者需要一个合法用户的"one-line DN"，用于在Apache-SSL伪造BASIC AUTH，和一个固定的密码(默认是"password")。

<*来源：Adam Laurie （adam@algroup.co.uk）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=107619127531765&w=2
*>

建议：

---

厂商补丁：

Apache-SSL
----------
安装Apache-SSL 1.3.29+1.53：

http://www.apache-ssl.org/

浏览次数：2918
严重程度：0（网友投票）