Apache HTTP服务器的mod_proxy的反向代理安全绕过漏洞（CNVD-2012-0848）

admin

0
文章

0
评论

2023-12-08 16:26:30 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 Apache HTTP服务器的mod_proxy的反向代理安全绕过漏洞（CNVD-2012-0848）

CVE编号

CVE-2011-3639

利用情况

POC 已公开

补丁情况

没有补丁

披露时间

2011-11-30

漏洞描述

Apache HTTP Server（简称Apache），中文名：阿帕奇，是Apache软件基金会的一个开放源码的网页服务器，可以在大多数计算机操作系统中运行，由于其多平台和安全性被广泛使用，是最流行的Web服务器端软件之一。Apache HTTP服务器的mod_proxy容易产生反向代理安全绕过漏洞。攻击者可以利用这个问题在受影响的机器上执行任意代码，达到攻击的目的。远程攻击者成功利用此漏洞可执行任意代码，如果利用失败可能引起拒绝服务。

解决建议

目前官方已对此漏洞发布相关补丁和处理方案，请及时更新软件到最新版本或安装相应补丁：http://httpd.apache.org/

参考链接
http://rhn.redhat.com/errata/RHSA-2012-0128.html
http://svn.apache.org/viewvc?view=revision&revision=1188745
http://www.debian.org/security/2012/dsa-2405
https://bugzilla.redhat.com/show_bug.cgi?id=752080

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	apache	http_server	2.0.11	-
	运行在以下环境
	应用	apache	http_server	2.0.12	-
	运行在以下环境
	应用	apache	http_server	2.0.13	-
	运行在以下环境
	应用	apache	http_server	2.0.14	-
	运行在以下环境
	应用	apache	http_server	2.0.15	-
	运行在以下环境
	应用	apache	http_server	2.0.16	-
	运行在以下环境
	应用	apache	http_server	2.0.17	-
	运行在以下环境
	应用	apache	http_server	2.0.18	-
	运行在以下环境
	应用	apache	http_server	2.0.19	-
	运行在以下环境
	应用	apache	http_server	2.0.20	-
	运行在以下环境
	应用	apache	http_server	2.0.21	-
	运行在以下环境
	应用	apache	http_server	2.0.22	-
	运行在以下环境
	应用	apache	http_server	2.0.23	-
	运行在以下环境
	应用	apache	http_server	2.0.24	-
	运行在以下环境
	应用	apache	http_server	2.0.25	-
	运行在以下环境
	应用	apache	http_server	2.0.26	-
	运行在以下环境
	应用	apache	http_server	2.0.27	-
	运行在以下环境
	应用	apache	http_server	2.0.28	-
	运行在以下环境
	应用	apache	http_server	2.0.29	-
	运行在以下环境
	应用	apache	http_server	2.0.30	-
	运行在以下环境
	应用	apache	http_server	2.0.31	-
	运行在以下环境
	应用	apache	http_server	2.0.32	-
	运行在以下环境
	应用	apache	http_server	2.0.33	-
	运行在以下环境
	应用	apache	http_server	2.0.34	-
	运行在以下环境
	应用	apache	http_server	2.0.35	-
	运行在以下环境
	应用	apache	http_server	2.0.36	-
	运行在以下环境
	应用	apache	http_server	2.0.37	-
	运行在以下环境
	应用	apache	http_server	2.0.38	-
	运行在以下环境
	应用	apache	http_server	2.0.39	-
	运行在以下环境
	应用	apache	http_server	2.0.40	-
	运行在以下环境
	应用	apache	http_server	2.0.41	-
	运行在以下环境
应用	apache	http_server	2.0.42	-
运行在以下环境
应用	apache	http_server	2.0.43	-
运行在以下环境
应用	apache	http_server	2.0.44	-
运行在以下环境
应用	apache	http_server	2.0.45	-
运行在以下环境
应用	apache	http_server	2.0.46	-
运行在以下环境
应用	apache	http_server	2.0.47	-
运行在以下环境
应用	apache	http_server	2.0.48	-
运行在以下环境
应用	apache	http_server	2.0.49	-
运行在以下环境
应用	apache	http_server	2.0.50	-
运行在以下环境
应用	apache	http_server	2.0.51	-
运行在以下环境
应用	apache	http_server	2.0.52	-
运行在以下环境
应用	apache	http_server	2.0.53	-
运行在以下环境
应用	apache	http_server	2.0.54	-
运行在以下环境
应用	apache	http_server	2.0.55	-
运行在以下环境
应用	apache	http_server	2.0.56	-
运行在以下环境
应用	apache	http_server	2.0.57	-
运行在以下环境
应用	apache	http_server	2.0.58	-
运行在以下环境
应用	apache	http_server	2.0.59	-
运行在以下环境
应用	apache	http_server	2.0.61	-
运行在以下环境
应用	apache	http_server	2.0.63	-
运行在以下环境
应用	apache	http_server	2.2.0	-
运行在以下环境
应用	apache	http_server	2.2.1	-
运行在以下环境
应用	apache	http_server	2.2.10	-
运行在以下环境
应用	apache	http_server	2.2.11	-
运行在以下环境
应用	apache	http_server	2.2.12	-
运行在以下环境
应用	apache	http_server	2.2.13	-
运行在以下环境
应用	apache	http_server	2.2.14	-
运行在以下环境
应用	apache	http_server	2.2.15	-
运行在以下环境
应用	apache	http_server	2.2.16	-
运行在以下环境
应用	apache	http_server	2.2.17	-
运行在以下环境
应用	apache	http_server	2.2.2	-
运行在以下环境
应用	apache	http_server	2.2.3	-
运行在以下环境
应用	apache	http_server	2.2.4	-
运行在以下环境
应用	apache	http_server	2.2.6	-
运行在以下环境
应用	apache	http_server	2.2.8	-
运行在以下环境
应用	apache	http_server	2.2.9	-
运行在以下环境
应用	apache	http_server2.0a1	*	-
运行在以下环境
应用	apache	http_server2.0a2	*	-
运行在以下环境
应用	apache	http_server2.0a3	*	-
运行在以下环境
应用	apache	http_server2.0a4	*	-
运行在以下环境
应用	apache	http_server2.0a5	*	-
运行在以下环境
应用	apache	http_server2.0a6	*	-
运行在以下环境
应用	apache	http_server2.0a7	*	-
运行在以下环境
应用	apache	http_server2.0a8	*	-
运行在以下环境
应用	apache	http_server2.0a9	*	-
运行在以下环境
系统	amazon_AMI	httpd	*		Up to (excluding) 2.2.22-1.23.amzn1
运行在以下环境
系统	centos_6	httpd-devel	*		Up to (excluding) 2.2.15-15.el6.centos.1
运行在以下环境
系统	debian_10	apache2	*		Up to (excluding) 2.2.18-1
运行在以下环境
系统	debian_11	apache2	*		Up to (excluding) 2.2.18-1
运行在以下环境
系统	debian_12	apache2	*		Up to (excluding) 2.2.18-1
运行在以下环境
系统	debian_5.0	apache2	*		Up to (excluding) 2.2.9-10+lenny12
运行在以下环境
系统	debian_6	apache2	*		Up to (excluding) 2.2.16-6+squeeze6
运行在以下环境
系统	debian_sid	apache2	*		Up to (excluding) 2.2.18-1
运行在以下环境
系统	oracle_5	oraclelinux-release	*		Up to (excluding) 2.2.3-63.0.1.el5_8.1
运行在以下环境
系统	oracle_6	oraclelinux-release	*		Up to (excluding) 2.2.15-15.0.1.el6_2.1
运行在以下环境
系统	redhat_5	httpd	*		Up to (excluding) 0:2.2.3-63.el5_8.1
运行在以下环境
系统	redhat_6	httpd	*		Up to (excluding) 0:2.2.15-15.el6_2.1
运行在以下环境
系统	suse_11	apache2	*		Up to (excluding) 2.2.12-1.28