Добавление записей в Apache Split-Logfile File

Дата публикации:
10.12.2001
Дата изменения:
17.10.2006
Всего просмотров:
864
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание:

Split-logfiles в Web сервере Apache позволяет создавать отдельные журналы регистрации для каждого индивидуального имени хоста.
Проблема существует в реализации некоторых функций split-logfile, которые позволяют добавлять данные, снабженные нападающим, в конец к файлам с расширением .log.
HTTP запрос с Host: header, который начинается с "/", выдаст сообщение об ошибке, но также добавит запись в соответствующий файл доступа. Уязвимость позволяет добавлять любые данные в конец к произвольному .log файлу, обрабатывая особым образом Host: header.
Уязвимость найдена в:
Apache Group Apache 1.3-1.3.20
RedHat Secure Web Server 3.2 i386

 



Ссылки: http://www.linux-mandrake.com/en/ftp.php3
ftp://updates.redhat.com/3.2/en/secureweb/i386/secureweb-3.2.4-1.i386.rpm.rhmask
ftp://updates.redhat.com/3.2/en/secureweb/i386/secureweb-devel-3.2.4-1.i386.rpm
или введите имя

CAPTCHA