Apache Cygwin远程目录遍历漏洞

漏洞信息详情

Apache Cygwin远程目录遍历漏洞

• CNNVD编号：CNNVD-200404-031
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2004-0173
  
• 漏洞类型：
  
  
  未知
  
• 发布时间：
  
  2004-02-24
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-12
  
• 厂        商：
  
  apache
• 漏洞来源：
  Jeremy Bae※ swbae@…

Apache cygwin是一款可在Windows平台上进行应用的环境。
Apache httpd在cygwin环境上对部分请求缺少充分过滤，远程攻击者可以利用这个漏洞进行目录遍历攻击。
提交包含多个对\’\’../\’\’进行URI编码的请求给cygwin环境上的Apache httpd，可绕过WEB ROOT限制，以WEB进程权限在系统上查看任意文件内容。

厂商补丁：
Apache Software Foundation
————————–
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Apache Software Foundation Apache 1.3.29:

Apache Software Foundation Patch Apache cygwin 1.3.29 patch

http://nagoya.apache.org/bugzilla/showattachment.cgi?attach_id=10222” target=”_blank”>
http://nagoya.apache.org/bugzilla/showattachment.cgi?attach_id=10222

来源: XF
名称: apache-cygwin-directory-traversal(15293)
链接:http://xforce.iss.net/xforce/xfdb/15293

来源: BID
名称: 9733
链接:http://www.securityfocus.com/bid/9733

来源: www.apacheweek.com
链接:http://www.apacheweek.com/issues/04-03-12

来源: SECUNIA
名称: 10962
链接:http://secunia.com/advisories/10962

来源: BUGTRAQ
名称: 20040224 STG Security Advisory: [SSA-20040217-06] Apache for cygwin
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=107765545431387&w=2

来源: FULLDISC
名称: 20040224 STG Security Advisory: [SSA-20040217-06] Apache for cygwin directory traversal vulnerability
链接:http://lists.grok.org.uk/pipermail/full-disclosure/2004-February/017740.html

来源: issues.apache.org
链接:http://issues.apache.org/bugzilla/show_bug.cgi?id=26152