Apache Web Server mod_alias和mod_rewrite模块…

发布日期：2004-11-18
更新日期：2005-05-31

受影响系统：

Apache Group Apache <= 1.3.29
IBM HTTP Server 2.0.47
IBM HTTP Server 2.0.42.2
SCO Unixware 7.1.3
SCO Unixware 7.1.1
SGI ProPack 2.4
SGI ProPack 2.3
Slackware Linux 9.1
Slackware Linux 9.0
Slackware Linux 8.1
Slackware Linux -current
Sun Solaris 9.0_x86
Sun Solaris 9.0
Sun Solaris 8.0_x86
Sun Solaris 8.0
TurboLinux TurboLinux Workstation 8.0
TurboLinux TurboLinux Workstation 7.0
TurboLinux TurboLinux Workstation 6.0
TurboLinux TurboLinux Server 8.0
TurboLinux TurboLinux Server 7.0
TurboLinux TurboLinux Server 6.5
TurboLinux TurboLinux Server 6.1
TurboLinux TurboLinux Advanced Server 6.0
Sun Cobalt RaQ XTR
TurboLinux Appliance Server Workgroup Edition 1.0
TurboLinux Appliance Server Hosting Edition 1.0

不受影响系统：

Apache Group Apache 2.0.48
Apache Group Apache 1.3.29

描述：

---

BUGTRAQ ID: 8911
CVE(CAN) ID: CVE-2003-0542

Apache是一款广泛使用的开放源代码WEB服务程序。

Apache的mod_alias和mod_rewrite模块中存在缓冲区溢出漏洞，可能允许本地攻击者在有漏洞的主机上执行任意代码。

如果正则表达式配置了多于9个捕获括号的话，就可能导致mod_alias和mod_rewrite模块出现缓冲区溢出。攻击者可以通过创建特制的配置文件导致拒绝服务（崩溃）或执行任意代码。

<*来源：André Malo
Rajiv Aaron Manglani （rajiv@gentoo.org）

链接：http://www.apache.org/dist/httpd/Announcement2.html
http://www-1.ibm.com/services/continuity/recover1.nsf/mss/MSS-OAR-E01-2004.0933.1
https://www.redhat.com/support/errata/RHSA-2003-320.html
https://www.redhat.com/support/errata/RHSA-2003-405.html
ftp://patches.sgi.com/support/free/security/advisories/20031203-01-U
http://sunsolve9.sun.com/search/printfriendly.do?assetkey=1-26-101444-1
*>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://httpd.apache.org/download.cgi

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有