В Apache mod_rewrite обнаружена уязвимость

image

Теги: Apache, уязвимость, патч

Уязвимость позволяет злоумышленнику выполнить произвольную команду в момент просмотра лог-файла администратором сервера.

В модуле mod_rewrite HTTP-сервера Apache серии 2.2.x была обнаружена уязвимость (CVE-2013-1862), которая позволяет злоумышленнику выполнить произвольную команду в момент просмотра лог-файла администратором сервера.

Посредством специально сформированных запросов к web-серверу злоумышленник может записать в лог-файл, к примеру, системные команды, так как mod_rewrite при записи в лог-файл не экранирует специальные символы. Правильное манипулирование последовательностями позволяет запускать произвольные команды с правами пользователя, осуществляющего просмотр журнала (как правило, подобные лог-файлы доступны для чтения только пользователю root).

Для исправления уязвимости доступен патч. Разработчики RHEL и CentOS исправили существующую проблему в своих продуктах. В Debian знают о существующей уязвимости, но не рассматривают ее, как серьезную угрозу. Разработчики Gentoo пока не исправили брешь.


comments powered by Disqus