Apache HTTP Server “mod_proxy”反向代理安全限制绕过漏洞

发布日期：2012-02-06
更新日期：2012-02-07受影响系统：
Apache Group Apache HTTP Server 2.2.x
Apache Group Apache HTTP Server 2.0.x
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 51869
CVE ID: CVE-2011-3639Apache HTTP Server是Apache软件基金会的一个开放源码的网页服务器，可以在大多数计算机操作系统中运行。Apache HTTP Server 2.0.x至2.0.64版本及2.2.18之前的2.2.x版本中的mod_proxy模块在安装了Revision 1179239补丁时，没有正确使用RewriteRule和ProxyPassMatch模式，以匹配反向代理的配置，这会允许远程攻击者通过HTTP/0.9协议发送畸形请求到内部服务器，导致绕过某些安全限制，获取敏感信息。<*来源：Tomas Hoger （thoger@redhat.com）

链接：https://community.qualys.com/blogs/securitylabs/tags/cve-2011-4317
*>测试方法：
--------------------------------------------------------------------------------
警告以下程序（方法）可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！RewriteRule ^（.*） http://www.example.com$1
ProxyPassMatch ^（.*） http://www.example.com$1建议：
--------------------------------------------------------------------------------
厂商补丁：Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://httpd.apache.org/MIT Kerberos KDC TGS处理空指针引用拒绝服务漏洞多个反病毒产品“.kz”扫描规避漏洞相关资讯 Apache漏洞 Apache HTTP Server

欧盟对开源项目 Apache HTTP （07月25日）
Apache HTTP Server 拒绝服务漏洞（（07月07日）
Apache HTTP Server HTTP请求走私（07/22/2015 13:47:06）

Apache HTTP Server HTTP_PROXY环（07月19日）
Apache漏洞修复（03月15日）
Apache HTTP Server ap_some_auth_ （07/22/2015 13:46:28）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任