发布日期：2004-03-19
更新日期：2004-03-24

受影响系统：

Apache Software Foundation Apache 2.0.48
Apache Software Foundation Apache 2.0.47
Apache Software Foundation Apache 2.0.46
Apache Software Foundation Apache 2.0.45
Apache Software Foundation Apache 2.0.44
Apache Software Foundation Apache 2.0.43
Apache Software Foundation Apache 2.0.42
Apache Software Foundation Apache 2.0.41
Apache Software Foundation Apache 2.0.40
Apache Software Foundation Apache 2.0.39
Apache Software Foundation Apache 2.0.38
Apache Software Foundation Apache 2.0.37
Apache Software Foundation Apache 2.0.36
Apache Software Foundation Apache 2.0.35
Apache Software Foundation Apache 2.0.32
Apache Software Foundation Apache 2.0.28
Apache Software Foundation Apache 2.0

不受影响系统：

Apache Software Foundation Apache 2.0.49

描述：

---

BUGTRAQ  ID: 9930
CVE(CAN) ID: CVE-2003-0020

Apache是一款开放源代码WEB服务程序。

Apache在错误日志记录过程中缺少充分过滤，远程攻击者可以利用这个漏洞建议任意文件或执行任意脚本代码。

Apache WEB服务器由于在记录日志时存在输入验证错误，允许转义字符序列注入到Apache日志文件中，利用这个漏洞可引出多个问题，如任意文件建立或者脚本代码执行。

<*来源：Jeff Trawick
  
  链接：http://security.gentoo.org/glsa/glsa-200405-22.xml
        http://www.linux-mandrake.com/en/security/2003/2003-050.php
        http://www.linux-mandrake.com/en/security/2004/2004-046.php
        http://www.linux-mandrake.com/en/security/2004/2004-046.php
        http://www.securityfocus.com/advisories/6851
        https://www.redhat.com/support/errata/RHSA-2003-139.html
        https://www.redhat.com/support/errata/RHSA-2003-243.html
*>

建议：

---

厂商补丁：

Apache Software Foundation
--------------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Apache Software Foundation Upgrade Apache httpd 2.0.49
http://httpd.apache.org/download.cgi

浏览次数：4622
严重程度：0（网友投票）