漏洞关键信息 1. 漏洞概述 应用: Apache WebServer 版本: 2.0.39 及之前版本(仅在支持反斜杠路径分隔符的系统上,如 Windows/Netware/OS2 等) 漏洞类型: - Directory traversal vulnerability (CVE-2002-0661) - Path disclosure bug (CVE-2002-0654) 2. 风险与影响 高风险: 攻击者可查看系统上的任意文件并使用 路径执行代码。 低风险: 攻击者可查看服务器路径,获取关于服务器的更多信息(如管理员隐藏的信息)。 3. 示例与具体问题 路径披露 (CVE-2002-0654): - 通过特定 URL 请求,服务器响应会暴露文件的完整路径。 - 例: 目录遍历 (CVE-2002-0661): - 反斜杠字符 (等同于 )未被视为恶意字符,可用于遍历目录。 - 例: 可用于查看 文件。 - 攻击者还可通过 路径执行命令,如: 4. 修复建议 官方修复: 升级至 Apache 2.0.40 版本。 临时解决方法: - 在 文件全局服务器配置中, 或 指令前添加: 5. 其他信息 登录更详细信息可参阅 Apache 官方网站:http://httpd.apache.org