2013-09-28

Apache HTTP server 的 mod_rewrite 模組漏洞

Apache HTTP server 的 mod_rewrite 模組漏洞


該漏洞是利用 modules/mappers/mod_rewrite.c 文件中的 Rewritelog() 函數不正確的處理某些轉義序列,導致惡意攻擊者發送特製的 HTTP 請求可以注入到 LOG 檔,並可能允許攻擊者無需管理員權限即可執行命令。

漏洞編號:CVE-2013-1862

影響範圍:
Apache HTTP server versions
1.3 branch from 1.3.28
2.0 branch from 2.0.46
2.2 branch from 2.2.0

mod_rewrite.c 的漏洞參考:
http://www.askapache.com/servers/mod_rewrite.c.html

官方網站修正程式:
http://people.apache.org/~jorton/mod_rewrite-CVE-2013-1862.patch

Red Hat Enterprise Linux 的修正程式:
https://rhn.redhat.com/errata/RHSA-2013-0815.html

相關參考:
http://secunia.com/advisories/53154/

原文出自:RedHat
轉載自《網路攻防戰》
MIB laboratory

1 則留言:

  1. Unknown2013/9/30 上午10:47

    該漏洞是利用 modules/mappers/mod_rewrite.c 文件中的 Rewritelog() 函數不正確的處理某些轉義序列,導致惡意攻擊者發送特製的 HTTP 請求可以注入到 LOG 檔,並可能允許攻擊者無需管理員權限即可執行命令。

    漏洞編號:CVE-2013-1862

    影響範圍:
    Apache HTTP server versions
    1.3 branch from 1.3.28
    2.0 branch from 2.0.46
    2.2 branch from 2.2.0

    mod_rewrite.c 的漏洞參考:
    http://www.askapache.com/servers/mod_rewrite.c.html

    回覆刪除

訂閱: 張貼留言 (Atom)