首页 -> 安全研究

安全研究

安全漏洞
Apache 重写规则可能导致泄漏系统文件

发布日期:2000-09-30
更新日期:2000-09-30

受影响系统:
Apache 1.3.12
Apache 1.3.11win32
Apache 1.2.x
不受影响系统:
Apache 1.3.13
描述:

apache 1.2以及以后版本中带了一个模块mod_rewrite,它可以将一些特殊的链接映射到
本地系统的一些文件。

如果要映射的文件名中包含一些正则表达式,可能允许攻击者浏览系统上的任意文
件。                                          
下面的三种规则设置中,第一个是有问题的,其他两个是正确的:

RewriteRule /test/(.*) /usr/local/data/test-stuff/$1
RewriteRule /more-icons/(.*) /icons/$1
RewriteRule /go/(.*) http://www.apacheweek.com/$1

<* 来源:Kevin van der Raad (k.van.der.raad@itsec.nl) *>



建议:

NSFCOUS建议您在没有升级或者得到补丁程序之前,检查您的配置文件,确保不使用“漏洞
描述"中第一条那样的错误规则。

厂商补丁:
Apache正在测试补丁程序,1.3.13版本中将解决此问题。



浏览次数:6127
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障