تاريخ الإصدار: 2007-11-30
تاريخ التحديث: 2007-12-04
الأنظمة المتأثرة:
مجموعة أباتشي أباتشي 2.2.4
مجموعة أباتشي أباتشي 2.2.3
مجموعة أباتشي أباتشي 2.0.59
مجموعة أباتشي أباتشي 2.0.55
مجموعة أباتشي أباتشي 2.0.51
مجموعة أباتشي أباتشي 2.0.46
الوصف:
معرف BUGTRAQ: 26663
يعد Apache HTTP Server خادم ويب شائعًا.
توجد ثغرة أمنية عندما يتعامل Apache HTTP Server مع طلبات المستخدم المشوهة، وقد يستخدم المهاجمون عن بعد هذه الثغرة الأمنية للحصول على التعليمات البرمجية المصدر للبرنامج النصي.
إذا كان طلب HTTP غير صحيح مقدم من مستخدم بعيد يحمل أحد أشكال الحمولة التالية (مثل JavaScript) وبيانات طول غير صالحة، فسيؤدي ذلك إلى قيام خادم Apache HTTP بإرجاع رمز البرنامج النصي المقدم من قبل العميل:
رأسان لطول المحتوى يساوي 0، مثل طول المحتوى: 0 [LF] طول المحتوى: 0
رأس طول محتوى واحد يساوي قيمتين، مثل طول المحتوى: 0، 0
طول محتوى واحد: الرأس يساوي رقمًا سالبًا، على سبيل المثال، طول المحتوى: -1
رأس طول المحتوى يساوي قيمة كبيرة جدًا، مثل طول المحتوى: 9999999999999999999999999999999999.
سيُرجع Apache خطأ 413 Request Entity Large Too Large بعد إرسال بيانات ذات طول غير صالح، مما يؤدي إلى تنفيذ HTML عشوائي وتعليمات برمجية نصية في جلسة متصفح المستخدم.
مجموعة Apache: في الوقت الحالي، لم توفر الشركة المصنعة أي تصحيحات أو ترقيات. نوصي مستخدمي هذا البرنامج دائمًا بالانتباه إلى الصفحة الرئيسية للشركة المصنعة للحصول على أحدث إصدار: http://www.apache.org.