发布日期：2001-03-13
更新日期：2001-11-29

受影响系统：

Apache Group Apache 1.3.9
Apache Group Apache 1.3.4
Apache Group Apache 1.3.3
Apache Group Apache 1.3.17win32
Apache Group Apache 1.3.17
Apache Group Apache 1.3.14
Apache Group Apache 1.3.12

不受影响系统：

Apache Group Apache 1.3.22
Apache Group Apache 1.3.20
Apache Group Apache 1.3.19

描述：

---

BUGTRAQ  ID: 2503
CVE(CAN) ID: CVE-2001-0925

Apache是一款广泛使用的开放源代码WEB服务程序。

Apache的实现上存在目录信息泄漏漏洞，远程攻击者可能利用此漏洞获取目录列表。

在默认的配置中Apache允许mod_dir，mod_autoindex和mod_negotiation。攻击者可以向Apache server提供由多个斜线（“/”）组成的特制请求，导致上述这些模块异常，这样就可能转义错误页面，获得目录内容的列表。

<*来源：Dan Harkless （dan-bugtraq@dilvish.speed.net）
        Martin Kraemer （martin@apache.org）
  
  链接：http://httpd.apache.org/security/vulnerabilities_13.html
        http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-077-1.php3
        http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-077-2.php3
        ftp://patches.sgi.com/support/free/security/advisories/20020301-01-P
*>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://httpd.apache.org/download.cgi

浏览次数：3250
严重程度：0（网友投票）