BUGTRAQ ID: 11239
CVE(CAN) ID: CVE-2004-0811
Apache是一款开放源代码WEB服务程序。
Apache Web Server中存在访问控制绕过漏洞,起因是在合并Satisfy命令时的未明错误。远程攻击者可以利用这个漏洞绕过访问控制,非授权访问受限的资源。
Apache Group Apache 2.0.51
HP HP-UX 11.23
HP HP-UX 11.22
HP HP-UX 11.11
HP HP-UX 11.00
HP Tru64 UNIX SWS < 6.3
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
--- httpd-2.0/server/core.c 2004/08/31 08:16:56 1.225.2.27
+++ httpd-2.0/server/core.c 2004/09/21 13:21:16 1.225.2.28
@@ -351,9 +351,13 @@
/* Otherwise we simply use the base->sec_file array
*/
+ /* use a separate ->satisfy[] array either way */
+ conf->satisfy = apr_palloc(a, sizeof(*conf->satisfy) * METHODS);
for (i = 0; i < METHODS; ++i) {
if (new->satisfy[i] != SATISFY_NOSPEC) {
conf->satisfy[i] = new->satisfy[i];
+ } else {
+ conf->satisfy[i] = base->satisfy[i];
}
}
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<a href=http://httpd.apache.org/download.cgi target=_blank>http://httpd.apache.org/download.cgi</a>
京公网安备 11010502034610号
暂无评论