Apache是一款开放源代码WEB服务程序，其中可通过SSL对通信进行加密。

Apache-SSL在部分配置情况下存在问题，远程攻击者可以利用这个漏洞伪造客户端证书进行认证。

如果把SSLVerifyClient设置为1或3(客户端证书可选)及SSLFakeBasicAuth，Apache-SSL 1.3.28+1.52及之前版本允许客户端使用实际BASIC验证来伪造客户端证书。

所有攻击者需要一个合法用户的"one-line DN"，用于在Apache-SSL伪造BASIC AUTH，和一个固定的密码(默认是"password")。

受影响系统：
Apache-SSL Apache-SSL 1.52

不受影响系统：
Apache-SSL Apache-SSL 1.53

攻击方法：
参考“详细”栏

解决方案：
安装Apache-SSL 1.3.29+1.53：