Apache 2 WebDAV CGI POST请求信息泄漏漏洞

发布日期：2000-01-07
更新日期：2004-06-30

受影响系统：

Apache Group Apache 2.0 < 2.0.43
HP HP-UX 11.22
HP HP-UX 11.20
HP HP-UX 11.11
HP HP-UX 11.0
HP OpenView Network Node Manager 6.2 Solaris
HP OpenView Network Node Manager 6.2 HP-UX 11.X
HP OpenView Network Node Manager 6.2 HP-UX 10.X
HP VirtualVault 4.6
HP VirtualVault 4.5

描述：

---

BUGTRAQ ID: 6065
CVE(CAN) ID: CVE-2002-1156

Apache是一款开放源代码WEB服务程序。

Apache中存在信息泄漏漏洞，起因是对CGI脚本执行了不充分的检查。仅在对文件夹启用了WebDAV和CGI的情况下才会出现这个漏洞。

攻击者可以通过向CGI脚本发送POST请求来利用这个漏洞。由于WebDAV和CGI脚本之间不正确的交互，可能导致Web server向远程攻击者返回CGI脚本的内容。

<*来源：Apache

链接：http://www-1.ibm.com/services/continuity/recover1.nsf/mss/MSS-OAR-E01-2004.0928.1
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载2.0.43版本：

http://httpd.apache.org/download.cgi

HP
--
HP已经为此发布了一个安全公告（HPSBUX0210-224）以及相应补丁:
HPSBUX0210-224：SSRT2393 rev.2 HP-UX Apache Vulnerabilities
链接：http://www-1.ibm.com/services/continuity/recover1.nsf/mss/MSS-OAR-E01-2004.0928.1

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!