检测

Apache <= 1.3.33 htpasswd 本地溢出

medium Nessus 插件 ID 14771

语言:

简介

远程 Web 服务器受到缓冲区溢出漏洞的影响。

描述

远程主机似乎正在运行 Apache 1.3.33 或更高版本。

这些版本的“htpasswd”命令中存在一个本地缓冲区溢出漏洞,该漏洞可能允许本地用户在运行“htpasswd”运行 setuid 时获得提升的特权,或者允许远程用户在可通过 CGI 访问脚本时远程运行任意命令。

*** 请注意,Nessus 仅依赖于远程服务器的版本号 *** 来发出此警告。*** 这可能是误报。

解决方案

确保 htpasswd 不运行 setuid 且不可通过任何 CGI 脚本访问。

另见

https://seclists.org/bugtraq/2004/Oct/356

https://seclists.org/fulldisclosure/2004/Sep/565

插件详情

严重性: Medium

ID: 14771

文件名: apache_htpasswd_overflow.nasl

版本: 1.25

类型: remote

系列: Web Servers

发布时间: 2004/9/17

最近更新时间: 2018/11/15

配置: 启用偏执模式

支持的传感器: Nessus

漏洞信息

CPE: cpe:/a:apache:http_server

必需的 KB 项: Settings/ParanoidReport, installed_sw/Apache

可利用: true

易利用性: Exploits are available

漏洞发布日期: 2004/9/16

参考资料信息

BID: 13777, 13778