漏洞信息详情

Apache HTTP Server ‘mod_proxy’模块输入验证漏洞

• CNNVD编号：CNNVD-201111-509
• 危害等级： 中危
  
• CVE编号： CVE-2011-3639
• 漏洞类型： 输入验证
• 发布时间： 2011-11-30
• 威胁类型： 远程
• 更新时间： 2011-12-05
• 厂        商： apache
• 漏洞来源：

漏洞简介

Apache HTTP Server是美国阿帕奇（Apache）软件基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。

Apache HTTP Server中的mod_proxy模块中存在漏洞。当Revision 1179239补丁在适当的位置时，不能正确的与（1） RewriteRule和（2）配置反代理服务器的ProxyPassMatch的模式匹配交互。远程攻击者可通过使用带有畸形URL，并且其中包含首字母为@（at符号）字符的HTTP/0.9协议发送请求到网路服务器。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://httpd.apache.org/

参考网址

来源: bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=752080

来源: svn.apache.org

链接:http://svn.apache.org/viewvc?view=revision&revision=1188745

来源：NSFOCUS 名称：18658 链接：http://www.nsfocus.net/vulndb/18658

受影响实体

• Apache Http_server2.0a9  
• Apache Http_server2.0a8  
• Apache Http_server2.0a7  
• Apache Http_server2.0a6  
• Apache Http_server2.0a5  

补丁

• httpd-2.2.18
• httpd-2.2.18
• httpd-2.2.18-win32-src