Apache HTTP Server畸形HTTP方式413漏洞 - 服务器运维

TOP

Apache HTTP Server畸形HTTP方式413漏洞

2011-06-02 19:50:35 来源: 作者: 【大中小】浏览:677次评论:0条

发布日期：2007-11-30

更新日期：2007-12-04

受影响系统：

Apache Group Apache 2.2.4

Apache Group Apache 2.2.3

Apache Group Apache 2.0.59

Apache Group Apache 2.0.55

Apache Group Apache 2.0.51

Apache Group Apache 2.0.46

描述：

BUGTRAQ ID: 26663

Apache HTTP Server是一款流行的Web服务器。

Apache HTTP Server处理畸形用户请求时存在漏洞，远程攻击者可能利用此漏洞获取脚本源码。

如果远程用户提交的畸形HTTP请求承载有以下形式之一负载（如JavaScript）和无效长度数据的话，就会导致Apache HTTP服务器返回客户端所提供的脚本代码：

两个Content-length头等于0，如Content-Length: 0[LF]Content-Length: 0

一个Content-length头等于两个值，如Content-length: 0, 0

一个Content-length:头等于负数，如Content-length: -1

一个Content-length头等于很大的值，如Content-length: 9999999999999999999999999999999999999999999999。

提交了无效长度数据后Apache就会返回413 Request Entity Too Large错误，导致在用户浏览器会话中执行任意HTML和脚本代码。

Apache Group:目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://www.apache.org

您看到此篇文章时的感受是：

Tags：

责任编辑：administrator

【大中小】【打印】【繁体】【投稿】【收藏】【推荐】【举报】【评论】【关闭】【返回顶部】

分享到:

帐　　号:

密码: (新用户注册)

验证码:

表　　情:

内　　容: