Apache Mod_Access访问控制规则绕过缺陷
涉及程序:
Apache Mod_Access
描述:
Apache Mod_Access存在访问控制规则绕过缺陷
详细:
Mod_access是Apache服务器上访问控制设置,是用来为Apache Web服务器提供加密支持的。Mod_access存在一个漏洞当允许或拒绝的规则被指定,而用于规则中的IP地址没有使用子网掩码,受此漏洞影响的模块将匹配规则错误,远程攻击者可以利用这个漏洞绕过此模块设置的访问规则,访问受限资源。
受影响系统:
Apache Software Foundation Apache 1.3
Apache Software Foundation Apache 1.3.29
Apache Software Foundation Apache 1.3.28
Apache Software Foundation Apache 1.3.27
Apache Software Foundation Apache 1.3.26
Apache Software Foundation Apache 1.3.25
Apache Software Foundation Apache 1.3.24
Apache Software Foundation Apache 1.3.23
Apache Software Foundation Apache 1.3.22
Apache Software Foundation Apache 1.3.20
Apache Software Foundation Apache 1.3.19
Apache Software Foundation Apache 1.3.18
Apache Software Foundation Apache 1.3.17
Apache Software Foundation Apache 1.3.14
Apache Software Foundation Apache 1.3.12
Apache Software Foundation Apache 1.3.11
攻击方法:
参考“详细”一栏
解决方案:
Apache CVS版本已经修正此漏洞:
http://cvs.apache.org/viewcvs.cgi/apache-1.3/src/modules/standard/mod_access.c?r1=1.46&r2=1.47
厂商提供安全补丁:
Apache Software Foundation
附加信息:
CAN-2003-0993
推荐
评论(0条)
