中危 Apache HTTP Server up to 1.3.26/2.0.42 Error Page 跨站脚本攻击

CVE编号

CVE-2002-0840

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2002-10-11
漏洞描述
2.0.43 之前 Apache 2.0 默认错误页面中,和 1.3.X 至 1.3.26中的的跨站点脚本 (XSS) 漏洞, 当使用规范名称为 “Off” 并且存在对通配符 DNS 的支持时,远程攻击者可以通过 Host: header 作为其他网页访问者执行脚本, 这是与 CAN-2002-1157 不同的漏洞。

解决建议
Apache Group------------目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.apache.org/dist/httpd/apache_1.3.27.tar.gz
参考链接
ftp://patches.sgi.com/support/free/security/advisories/20021105-02-I
http://archives.neohapsis.com/archives/bugtraq/2002-10/0254.html
http://archives.neohapsis.com/archives/vulnwatch/2002-q4/0003.html
http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000530
http://marc.info/?l=apache-httpd-announce&m=103367938230488&w=2
http://marc.info/?l=bugtraq&m=103357160425708&w=2
http://marc.info/?l=bugtraq&m=103376585508776&w=2
http://online.securityfocus.com/advisories/4617
http://www.apacheweek.com/issues/02-10-04
http://www.debian.org/security/2002/dsa-187
http://www.debian.org/security/2002/dsa-188
http://www.debian.org/security/2002/dsa-195
http://www.kb.cert.org/vuls/id/240329
http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-068.php
http://www.linuxsecurity.com/advisories/other_advisory-2414.html
http://www.osvdb.org/862
http://www.redhat.com/support/errata/RHSA-2002-222.html
http://www.redhat.com/support/errata/RHSA-2002-243.html
http://www.redhat.com/support/errata/RHSA-2002-244.html
http://www.redhat.com/support/errata/RHSA-2002-248.html
http://www.redhat.com/support/errata/RHSA-2002-251.html
http://www.redhat.com/support/errata/RHSA-2003-106.html
http://www.securityfocus.com/bid/5847
https://exchange.xforce.ibmcloud.com/vulnerabilities/10241
https://lists.apache.org/thread.html/54a42d4b01968df1117cea77fc53d6beb931c0e0...
https://lists.apache.org/thread.html/5df9bfb86a3b054bb985a45ff9250b0332c9ecc1...
https://lists.apache.org/thread.html/r0276683d8e1e07153fc8642618830ac0ade85b9...
https://lists.apache.org/thread.html/r2cb985de917e7da0848c440535f65a247754db8...
https://lists.apache.org/thread.html/r5001ecf3d6b2bdd0b732e527654248abb264f08...
https://lists.apache.org/thread.html/r5419c9ba0951ef73a655362403d12bb8d10fab3...
https://lists.apache.org/thread.html/r5f9c22f9c28adbd9f00556059edc7b03a5d5bb7...
https://lists.apache.org/thread.html/r8828e649175df56f1f9e3919938ac7826128525...
https://lists.apache.org/thread.html/r9e8622254184645bc963a1d47c5d47f6d5a36d6...
https://lists.apache.org/thread.html/r9f93cf6dde308d42a9c807784e8102600d0397f...
https://lists.apache.org/thread.html/rd00b45b93fda4a5bd013b28587207d0e00f99f6...
https://lists.apache.org/thread.html/rf2f0f3611f937cf6cfb3b4fe4a67f6988585512...
https://lists.apache.org/thread.html/rf6449464fd8b7437704c55f88361b66f12d5b5f...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 apache http_server 1.3 -
运行在以下环境
应用 apache http_server 1.3.1 -
运行在以下环境
应用 apache http_server 1.3.11 -
运行在以下环境
应用 apache http_server 1.3.12 -
运行在以下环境
应用 apache http_server 1.3.14 -
运行在以下环境
应用 apache http_server 1.3.17 -
运行在以下环境
应用 apache http_server 1.3.18 -
运行在以下环境
应用 apache http_server 1.3.19 -
运行在以下环境
应用 apache http_server 1.3.20 -
运行在以下环境
应用 apache http_server 1.3.22 -
运行在以下环境
应用 apache http_server 1.3.23 -
运行在以下环境
应用 apache http_server 1.3.24 -
运行在以下环境
应用 apache http_server 1.3.25 -
运行在以下环境
应用 apache http_server 1.3.26 -
运行在以下环境
应用 apache http_server 1.3.3 -
运行在以下环境
应用 apache http_server 1.3.4 -
运行在以下环境
应用 apache http_server 1.3.6 -
运行在以下环境
应用 apache http_server 1.3.9 -
运行在以下环境
应用 apache http_server 2.0 -
运行在以下环境
应用 apache http_server 2.0.28 -
运行在以下环境
应用 apache http_server 2.0.32 -
运行在以下环境
应用 apache http_server 2.0.35 -
运行在以下环境
应用 apache http_server 2.0.36 -
运行在以下环境
应用 apache http_server 2.0.37 -
运行在以下环境
应用 apache http_server 2.0.38 -
运行在以下环境
应用 apache http_server 2.0.39 -
运行在以下环境
应用 apache http_server 2.0.40 -
运行在以下环境
应用 apache http_server 2.0.41 -
运行在以下环境
应用 apache http_server 2.0.42 -
运行在以下环境
应用 oracle application_server 1.0.2 -
运行在以下环境
应用 oracle application_server 1.0.2.1s -
运行在以下环境
应用 oracle application_server 1.0.2.2 -
运行在以下环境
应用 oracle application_server 9.0.2 -
运行在以下环境
应用 oracle application_server 9.0.2.1 -
运行在以下环境
应用 oracle database_server 8.1.7 -
运行在以下环境
应用 oracle database_server 9.2.1 -
运行在以下环境
应用 oracle database_server 9.2.2 -
运行在以下环境
应用 oracle oracle8i 8.1.7 -
运行在以下环境
应用 oracle oracle8i 8.1.7.1 -
运行在以下环境
应用 oracle oracle8i 8.1.7_.0.0_enterprise -
运行在以下环境
应用 oracle oracle8i 8.1.7_.1.0_enterprise -
运行在以下环境
应用 oracle oracle9i 9.0 -
运行在以下环境
应用 oracle oracle9i 9.0.1 -
运行在以下环境
应用 oracle oracle9i 9.0.1.2 -
运行在以下环境
应用 oracle oracle9i 9.0.1.3 -
运行在以下环境
应用 oracle oracle9i 9.0.2 -
运行在以下环境
系统 debian_10 apache2 * Up to
(excluding)
2.0.43-1
运行在以下环境
系统 debian_11 apache2 * Up to
(excluding)
2.0.43-1
运行在以下环境
系统 debian_12 apache2 * Up to
(excluding)
2.0.43-1
阿里云评分
6.4
  • 攻击路径
    本地
  • 攻击复杂度
    困难
  • 权限要求
    普通权限
  • 影响范围
    有限影响
  • EXP成熟度
    POC 已公开
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
NVD-CWE-Other
阿里云安全产品覆盖情况