NSFOCUS绿盟科技

安全研究

安全漏洞

Apache HTAccess LIMIT选项绕过配置错误漏洞

发布日期：2004-03-15
更新日期：2004-03-29

受影响系统：

Apache Software Foundation Apache 2.0a9
Apache Software Foundation Apache 2.0.48
Apache Software Foundation Apache 2.0.47
Apache Software Foundation Apache 2.0.46
Apache Software Foundation Apache 2.0.45
Apache Software Foundation Apache 2.0.44
Apache Software Foundation Apache 2.0.43
Apache Software Foundation Apache 2.0.42
Apache Software Foundation Apache 2.0.41
Apache Software Foundation Apache 2.0.40
Apache Software Foundation Apache 2.0.39
Apache Software Foundation Apache 2.0.38
Apache Software Foundation Apache 2.0.37
Apache Software Foundation Apache 2.0.36
Apache Software Foundation Apache 2.0.35
Apache Software Foundation Apache 2.0.32
Apache Software Foundation Apache 2.0.28
Apache Software Foundation Apache 2.0
Apache Software Foundation Apache 1.3.29
Apache Software Foundation Apache 1.3.28
Apache Software Foundation Apache 1.3.27
Apache Software Foundation Apache 1.3.25
Apache Software Foundation Apache 1.3.24
Apache Software Foundation Apache 1.3.23
Apache Software Foundation Apache 1.3.22
Apache Software Foundation Apache 1.3.20
Apache Software Foundation Apache 1.3.19
Apache Software Foundation Apache 1.3.18
Apache Software Foundation Apache 1.3.17
Apache Software Foundation Apache 1.3.14
Apache Software Foundation Apache 1.3.12
Apache Software Foundation Apache 1.3.11
Apache Software Foundation Apache 1.3
Apache Software Foundation Apache 1.0
Apache Software Foundation Apache 1.3.26
    - Debian Linux 3.0
    - Mandrake Linux 9.1
    - Mandrake Linux 9.0
    - Mandrake Linux 8.2
    - NetBSD 1.6 beta
    - RedHat Linux 8.0
    - RedHat Linux 7.3
    - RedHat Linux 7.2
    - SuSE Linux 8.2
    - SuSE Linux 8.1
    - SuSE Linux 8.0

描述：

BUGTRAQ  ID: 9874

Apache是一款开放源代码WEB服务程序。

Apache HTAccess LIMIT设置存在配置错误，远程攻击者可以利用这个漏洞绕过规则限制访问受限资源。

LIMIT指示选项一般用于htaccess文件限制HTTP方法对资源的请求。但是如果请求资源由Apache模块服务而不是Apache服务程序自身服务的情况下，LIMIT限制可能会不采用。另外LIMIT限制对部分CGI/脚本资源调用方法如PUT缺少正确限制，可绕过规则访问受限资源。

<*来源：FraMe （frame@hispalab.com）
        MaDj0kEr
  *>

建议：

厂商补丁：

Apache Software Foundation
--------------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.apache.org/

浏览次数：3934
严重程度：0（网友投票）

关于我们: 公司介绍; 公司荣誉; 公司新闻

联系我们: 公司总部; 分支机构; 海外机构

快速链接: 绿盟云; 绿盟威胁情报中心NTI; 技术博客