当前位置: 首页 > 图文教程 > 服务器 > Linux服务器 > Apache HTTP Server畸形HTTP方式413漏洞

Linux服务器
apache urlrewrite防盗链功能配置
实战 LAMP 服务器配置 完整篇
tomcat 5.5连接池配置,如何让工程为默认工程
搭建一个大型网站架构的实验环境(Squid缓存服务器篇)
Windows 配置Apache以便在浏览器中运行Python script的CGI模式
Apache 网站速度更快
ubuntu lighttpd+webpy (fastcgi)配置方法
linux 入侵常用命令汇编
Linux 快速定位web路径方法
winxp apache用php建本地虚拟主机的方法
Apache 多站点虚拟主机配置方法
redhat Server release 5.2 安装配置简明教程
Ubuntu Linux系统下轻松架设nginx+php服务器应用
Linux Apache+Proftpd构建虚拟主机时要注意的几个安全问题
Linux 服务器同步 Rsync同步服务器文件
APACHE 多站点配置方法
基于Apache的支持.NET2.0的Web服务器搭建
Ubuntu 下配置Rsync服务的方法
利用rsync自动备份 完全配置方法 增加了ip限制
Linux 每天自动备份mysql数据库的方法

Linux服务器 中的 Apache HTTP Server畸形HTTP方式413漏洞


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-09-30   浏览: 102 ::
收藏到网摘: n/a

 

发布日期:2007-11-30

更新日期:2007-12-04

 

受影响系统:

Apache Group Apache 2.2.4

Apache Group Apache 2.2.3

Apache Group Apache 2.0.59

Apache Group Apache 2.0.55

Apache Group Apache 2.0.51

Apache Group Apache 2.0.46

描述:

BUGTRAQ ID: 26663

 

Apache HTTP Server是一款流行的Web服务器。

 

Apache HTTP Server处理畸形用户请求时存在漏洞,远程攻击者可能利用此漏洞获取脚本源码。

 

如果远程用户提交的畸形HTTP请求承载有以下形式之一负载(如JavaScript)和无效长度数据的话,就会导致Apache HTTP服务器返回客户端所提供的脚本代码:

 

两个Content-length头等于0,如Content-Length: 0[LF]Content-Length: 0

一个Content-length头等于两个值,如Content-length: 0, 0

一个Content-length:头等于负数,如Content-length: -1

一个Content-length头等于很大的值,如Content-length: 9999999999999999999999999999999999999999999999。

 

提交了无效长度数据后Apache就会返回413 Request Entity Too Large错误,导致在用户浏览器会话中执行任意HTML和脚本代码。

 

Apache Group:目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.apache.org