[ 永遠的UNIX::UNIX技術資料的寶庫 ]   GB | BIG5
首頁 > 應用技術 > Apache > 正文
Apache mod_rewrite 模塊的漏洞
本文出自:http://www.freelamp.com 作者: 徐永久(albertxu@bigfoot.com) (2001-08-26 07:05:00)

新的 Apache 已經堵住了這個漏洞。 :-) 不要擔心
這個漏洞僅當你使用 mod_rewrite 模塊並且使用了特別的RewriteRule 配置時才出現,但是即使比較新的 1.3.12 版本
也不能幸免。如果RewriteRule 的結果是一個包含正則表達式引用的文件名的話,攻擊者有可能存取Web 服務器上的任何
文件。

下面是幾個RewriteRule 的例子,第一個是有漏洞的,但是其他的不是。 

RewriteRule /test/(.*) /usr/local/data/test-stuff/$1
RewriteRule /more-icons/(.*) /icons/$1
RewriteRule /go/(.*) http://www.apacheweek.com/$1

補丁正在測試中,將會是 Apache 1.3.13 版本的一部分。在未接收到補丁之前,用戶可以檢查自己的配置文件,確定沒
有使用上述例子中第一行那樣的情況。

(http://www.fanqiang.com)     進入【UNIX論壇
相關文章

======
 

★  樊強制作 歡迎分享  ★