CVE-2003-0843
CVSS7.5
发布时间 :2003-11-17 00:00:00
修订时间 :2016-10-17 22:37:53
NMCO    

[原文]Format string vulnerability in mod_gzip_printf for mod_gzip 1.3.26.1a and earlier, and possibly later official versions, when running in debug mode and using the Apache log, allows remote attackers to execute arbitrary code via format string characters in an HTTP GET request with an "Accept-Encoding: gzip" header.


[CNNVD]mod_gzip格式字符串漏洞(CNNVD-200311-036)

        mod_gzip 1.3.26.1a及其早期版本和可能之后官方版本中的mod_gzip_printf存在格式字符串漏洞。当运行在调试模式下和使用Apache日志时,远程攻击者可以通过具有“Accept - Encoding:gzip”头的HTTP GET请求中的格式字符串执行任意代码。

- CVSS (基础分值)

CVSS分值: 7.5 [严重(HIGH)]
机密性影响: [--]
完整性影响: [--]
可用性影响: [--]
攻击复杂度: [--]
攻击向量: [--]
身份认证: [--]

- CPE (受影响的平台与产品)

产品及版本信息(CPE)暂不可用

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0843
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2003-0843
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200311-036
(官方数据源) CNNVD

- 其它链接及资源

http://marc.info/?l=bugtraq&m=105457180009860&w=2
(UNKNOWN)  BUGTRAQ  20030601 Mod_gzip Debug Mode Vulnerabilities

- 漏洞信息

mod_gzip格式字符串漏洞
高危 格式化字符串
2003-11-17 00:00:00 2005-12-05 00:00:00
远程  
        mod_gzip 1.3.26.1a及其早期版本和可能之后官方版本中的mod_gzip_printf存在格式字符串漏洞。当运行在调试模式下和使用Apache日志时,远程攻击者可以通过具有“Accept - Encoding:gzip”头的HTTP GET请求中的格式字符串执行任意代码。

- 公告与补丁

        

- 漏洞信息

10508
mod_gzip Debug Mode mod_gzip_printf Remote Format String
Remote / Network Access, Local / Remote, Context Dependent Input Manipulation
Loss of Integrity
Exploit Public

- 漏洞描述

A remote format string vulnerablity exists in mod_gzip. The issue is due to an error of mod_gzip_printf() for Apache logging machanism. By sending a specially crafted HTTP GET request with an "Accept-Encoding: gzip" header, a remote attacker can cause a denial of service or execute arbitrary code with the priviledges of webserver, resulting in a loss of integrity.

- 时间线

2003-06-01 Unknow
2003-11-23 Unknow

- 解决方案

Currently, there are no known workarounds or upgrades to correct this issue. However, Zone-H has released a patch to address this vulnerability.

- 相关参考

- 漏洞作者

Unknown or Incomplete
 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站