Apache特制超长斜线路径导致目录信息泄露漏洞

漏洞信息详情

Apache特制超长斜线路径导致目录信息泄露漏洞

• CNNVD编号：CNNVD-200103-004
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2001-0925
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2001-03-12
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-08-31
  
• 厂        商：
  
  apache
• 漏洞来源：
  Dan Harkless※ dan-…

Apache是一款广泛使用的开放源代码WEB服务程序。
Apache的实现上存在目录信息泄漏漏洞，远程攻击者可能利用此漏洞获取目录列表。
在默认的配置中Apache允许mod_dir，mod_autoindex和mod_negotiation。攻击者可以向Apache server提供由多个斜线(\”/\”)组成的特制请求，导致上述这些模块异常，这样就可能转义错误页面，获得目录内容的列表。

厂商补丁：
Apache Group
————
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://httpd.apache.org/download.cgi” target=”_blank”>
http://httpd.apache.org/download.cgi

来源: XF
名称: apache-slash-directory-listing(6921)
链接:http://xforce.iss.net/static/6921.php

来源: BID
名称: 2503
链接:http://www.securityfocus.com/bid/2503

来源: BUGTRAQ
名称: 20010312 FORW: [ANNOUNCE] Apache 1.3.19 Released
链接:http://www.securityfocus.com/archive/1/168497

来源: MANDRAKE
名称: MDKSA-2001:077
链接:http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-077.php3

来源: BUGTRAQ
名称: 20010726 Apache Artificially Long Slash Path Directory Listing Vulnerabili ty — FILE READ ACCESS
链接:http://www.securityfocus.com/cgi-bin/archive.pl?id=1&start=2002-01-27&end=2002-02-02&mid=199857&threads=1

来源: BUGTRAQ
名称: 20010624 Fw: Bugtraq ID 2503 : Apache Artificially Long Slash Path Directory Listing Exploit
链接:http://www.securityfocus.com/archive/1/193081

来源: BUGTRAQ
名称: 20010419 OpenBSD 2.8patched Apache vuln!
链接:http://www.securityfocus.com/archive/1/178066

来源: ENGARDE
名称: ESA-20010620-02
链接:http://www.linuxsecurity.com/advisories/other_advisory-1452.html

来源: DEBIAN
名称: DSA-067
链接:http://www.debian.org/security/2001/dsa-067

来源: www.apacheweek.com
链接:http://www.apacheweek.com/features/security-13