Apache终端转义序列过滤漏洞

SEBUGID:SSD-20081014148
Published:2004-05-25
Vulnerable:
Apache Group Apache 1.3.9
Apache Group Apache 1.3.6
Apache Group Apache 1.3.4
Apache Group Apache 1.3.3
Apache Group Apache 1.3.24
Apache Group Apache 1.3.22
Apache Group Apache 1.3.20
Apache Group Apache 1.3.2
Apache Group Apache 1.3.19
Apache Group Apache 1.3.17
Apache Group Apache 1.3.14
Apache Group Apache 1.3.12
Apache Group Apache 1.3.11
Apache Group Apache 1.3.1
Apache Group Apache 1.3.0
Discription:
CVE(CAN) ID: CVE-2003-0083

Apache是一款广泛使用的开放源代码WEB服务程序。

Apache对日志中的转义序列处理存在问题,攻击者可能利用恶意的日志信息在服务器执行任意命令。

Apache无法过滤错误日志中以ASCII(0x1B)序列开始且带有一系列参数的终端转义序列。如果攻击者能够向Apache错误日志中注入转义序列的话,就可能对远程用户发动各种攻击,包括拒绝服务,文件修改和执行任意命令。
<*References
Aida Escriva-Sammer (aescriva@gentoo.org
Vincenzo Ciaglia (puccio@pucciolab.org

http://marc.theaimsgroup.com/?l=apache-httpd-announce&m=103367938230488&w=2#2
https://www.redhat.com/support/errata/RHSA-2003-139.html
*>
SEBUG Solution:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.apache.org
// Sebug.net [ 2008-10-05 ]