Apache HTDigest域命令行参数溢出漏洞
2008-04-09 04:24:35来源:互联网 阅读 ()
发布日期:2005-05-09
更新日期:2005-05-09
受影响系统:
Apache Software Foundation Apache 1.3.9描述:
Apache Software Foundation Apache 1.3.6
Apache Software Foundation Apache 1.3.4
Apache Software Foundation Apache 1.3.3
Apache Software Foundation Apache 1.3.27
Apache Software Foundation Apache 1.3.26
Apache Software Foundation Apache 1.3.25
Apache Software Foundation Apache 1.3.24
Apache Software Foundation Apache 1.3.23
Apache Software Foundation Apache 1.3.22
Apache Software Foundation Apache 1.3.20
Apache Software Foundation Apache 1.3.19
Apache Software Foundation Apache 1.3.18
Apache Software Foundation Apache 1.3.17
Apache Software Foundation Apache 1.3.14
Apache Software Foundation Apache 1.3.12
Apache Software Foundation Apache 1.3.11
Apache Software Foundation Apache 1.3.1
Apache Software Foundation Apache 1.3
BUGTRAQ ID: 13537
CVE(CAN) ID: CVE-2005-1344
Apache是一款流行的WEB服务程序,htdigest是其中捆绑的一个工具,用于为HTTP用户的摘要认证创建和更新用户名,域和口令。
htdigest程序对于参数的处理缺少充分的缓冲区边界检查,本地攻击者可能利用此漏洞在主机上执行任意指令。
htdigest程序在将htdigest参数"user"和"realm"拷贝到本地缓冲区时没有执行边界检查,这样攻击者就可以通过发送超长的参数触发缓冲区溢出,导致htdigest执行任意代码。如果htdigest是从远程用户的CGI脚本调用的话这个问题可能更加严重。
<*来源:Luca Ercoli (luca.ercoli@inwind.it)
链接:http://www.lucaercoli.it/advs/htdigest.txt
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 如果管理员能够防范从CGI脚本调用htdigest的情况的话,则漏洞风险可以降低。
厂商补丁:
Apache Software Foundation
--------------------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://jakarta.apache.org/tomcat/index.html
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
