Apache Satisfy命令访问控制绕过漏洞

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

BUGTRAQ ID: 11239 CVE(CAN) ID: CVE-2004-0811 Apache是一款开放源代码WEB服务程序。 Apache Web Server中存在访问控制绕过漏洞,起因是在合并Satisfy命令时的未明错误。远程攻击者可以利用这个漏洞绕过访问控制,非授权访问受限的资源。 Apache Group Apache 2.0.51 HP HP-UX 11.23 HP HP-UX 11.22 HP HP-UX 11.11 HP HP-UX 11.00 HP Tru64 UNIX SWS &lt; 6.3 临时解决方法: 如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁: --- httpd-2.0/server/core.c 2004/08/31 08:16:56 1.225.2.27 +++ httpd-2.0/server/core.c 2004/09/21 13:21:16 1.225.2.28 @@ -351,9 +351,13 @@ /* Otherwise we simply use the base-&gt;sec_file array */ + /* use a separate -&gt;satisfy[] array either way */ + conf-&gt;satisfy = apr_palloc(a, sizeof(*conf-&gt;satisfy) * METHODS); for (i = 0; i &lt; METHODS; ++i) { if (new-&gt;satisfy[i] != SATISFY_NOSPEC) { conf-&gt;satisfy[i] = new-&gt;satisfy[i]; + } else { + conf-&gt;satisfy[i] = base-&gt;satisfy[i]; } } 厂商补丁: Apache Group ------------ 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: <a href=http://httpd.apache.org/download.cgi target=_blank>http://httpd.apache.org/download.cgi</a>

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息