CVE-2001-1556
CVSS5.0
发布时间 :2001-12-31 00:00:00
修订时间 :2008-09-05 16:26:51
NMCO    

[原文]The log files in Apache web server contain information directly supplied by clients and does not filter or quote control characters, which could allow remote attackers to hide HTTP requests and spoof source IP addresses when logs are viewed with UNIX programs such as cat, tail, and grep.


[CNNVD]Apache web服务器隐藏HTTP请求且欺骗源IP地址漏洞(CNNVD-200112-155)

        Apache web服务器中的登录文件包含客户端直接提供的信息且不过滤或者引用控制字符,当日志被UNIX程序比如:cat,tail,和grep查看后,远程攻击者利用该漏洞隐藏HTTP请求且欺骗源IP地址。

- CVSS (基础分值)

CVSS分值: 5 [中等(MEDIUM)]
机密性影响: NONE [对系统的机密性无影响]
完整性影响: PARTIAL [可能会导致系统文件被修改]
可用性影响: NONE [对系统可用性无影响]
攻击复杂度: LOW [漏洞利用没有访问限制 ]
攻击向量: [--]
身份认证: NONE [漏洞利用无需身份认证]

- CPE (受影响的平台与产品)

产品及版本信息(CPE)暂不可用

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2001-1556
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2001-1556
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200112-155
(官方数据源) CNNVD

- 其它链接及资源

http://www.iss.net/security_center/static/7363.php
(UNKNOWN)  XF  apache-hidden-http-request(7363)
http://httpd.apache.org/docs/logs.html
(UNKNOWN)  CONFIRM  http://httpd.apache.org/docs/logs.html
http://archives.neohapsis.com/archives/bugtraq/2001-10/0231.html
(VENDOR_ADVISORY)  BUGTRAQ  20011024 Hidden requests to Apache

- 漏洞信息

Apache web服务器隐藏HTTP请求且欺骗源IP地址漏洞
中危 未知
2001-12-31 00:00:00 2005-10-20 00:00:00
远程  
        Apache web服务器中的登录文件包含客户端直接提供的信息且不过滤或者引用控制字符,当日志被UNIX程序比如:cat,tail,和grep查看后,远程攻击者利用该漏洞隐藏HTTP请求且欺骗源IP地址。

- 公告与补丁

        

- 漏洞信息

20285
Apache HTTP Server Log File Control Character Injection
Input Manipulation
Loss of Integrity Solution Unknown
Vendor Verified

- 漏洞描述

Unknown or Incomplete

- 时间线

2001-10-24 Unknow
Unknow Unknow

- 解决方案

Unknown or Incomplete

- 相关参考

- 漏洞作者

Unknown or Incomplete
 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站