阿里云漏洞库

中危 Apache HTTP Server HTML注入漏洞

CVE编号

CVE-2012-3502

利用情况

暂无

补丁情况

官方补丁

披露时间

2012-08-23

漏洞描述

Apache HTTP Server是一款流行的WEB服务程序。Apache HTTP Server如果使用mod_negotiation模块，并且不可信用户可在服务器上创建文件，那么在解析文件名存在跨站脚本安全漏洞，可导致信息泄露。

解决建议

Apache Software Foundation Apache 2.4.3已经修复此漏洞，建议用户下载使用：http://www.apache.org

参考链接
http://httpd.apache.org/security/vulnerabilities_24.html
http://mail-archives.apache.org/mod_mbox/www-announce/201208.mbox/%3C0BFFEA9B...
http://www.apache.org/dist/httpd/CHANGES_2.4.3
http://www.securityfocus.com/bid/55131
https://lists.apache.org/thread.html/56c2e7cc9deb1c12a843d0dc251ea7fd3e7e8029...
https://lists.apache.org/thread.html/84a3714f0878781f6ed84473d1a503d2cc382277...
https://lists.apache.org/thread.html/r05b5357d1f6bd106f41541ee7d87aafe3f5ea4d...
https://lists.apache.org/thread.html/r1d201e3da31a2c8aa870c8314623caef7debd74...
https://lists.apache.org/thread.html/r476d175be0aaf4a17680ef98c5153b4d336eaef...
https://lists.apache.org/thread.html/r76142b8c5119df2178be7c2dba88fde552eedee...
https://lists.apache.org/thread.html/r9b4b963760a3cb5a4a70c902f325c6c0337fe51...
https://lists.apache.org/thread.html/r9f93cf6dde308d42a9c807784e8102600d0397f...
https://lists.apache.org/thread.html/rcc44594d4d6579b90deccd4536b5d31f099ef56...
https://lists.apache.org/thread.html/rd18c3c43602e66f9cdcf09f1de233804975b957...
https://lists.apache.org/thread.html/rd336919f655b7ff309385e34a143e41c503e133...
https://lists.apache.org/thread.html/re3d27b6250aa8548b8845d314bb8a350b3df326...
https://lists.apache.org/thread.html/rf6449464fd8b7437704c55f88361b66f12d5b5f...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	apache	http_server	2.4.0	-
	运行在以下环境
	应用	apache	http_server	2.4.1	-
	运行在以下环境
	应用	apache	http_server	2.4.2	-
	运行在以下环境
	系统	debian_10	apache2	*		Up to (excluding) 2.4.38-3+deb10u8
	运行在以下环境
	系统	debian_11	apache2	*		Up to (excluding) 2.4.56-1~deb11u2
	运行在以下环境
	系统	debian_12	apache2	*		Up to (excluding) 2.4.57-2
	运行在以下环境
	系统	suse_12	apache2	*		Up to (excluding) 2.4.10-6

攻击路径

本地
攻击复杂度

困难
权限要求

普通权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

N/A
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-200	信息暴露