출시일: 2007-11-30
업데이트 날짜: 2007-12-04
영향을 받는 시스템:
Apache 그룹 Apache 2.2.4
Apache 그룹 Apache 2.2.3
Apache 그룹 Apache 2.0.59
Apache 그룹 Apache 2.0.55
Apache 그룹 Apache 2.0.51
Apache 그룹 Apache 2.0.46
설명:
BUGTRAQ ID: 26663
Apache HTTP Server는 널리 사용되는 웹 서버입니다.
Apache HTTP Server가 잘못된 사용자 요청을 처리할 때 취약점이 있습니다. 원격 공격자는 이 취약점을 이용하여 스크립트 소스 코드를 얻을 수 있습니다.
원격 사용자가 제출한 잘못된 HTTP 요청이 다음 형식의 페이로드(예: JavaScript) 중 하나와 잘못된 길이 데이터를 전달하는 경우 Apache HTTP 서버는 클라이언트가 제공한 스크립트 코드를 반환하게 됩니다.
두 개의 Content-length 헤더는 0과 같습니다(예: Content-Length: 0 [LF] Content-Length: 0)
하나의 Content-length 헤더는 Content-length: 0, 0과 같은 두 개의 값과 같습니다.
하나의 Content-length: 헤더는 음수와 같습니다(예: Content-length: -1).
Content-length 헤더는 Content-length: 9999999999999999999999999999999999999999999와 같이 매우 큰 값과 같습니다.
Apache는 유효하지 않은 길이의 데이터를 제출한 후 413 Request Entity Too Large 오류를 반환하여 사용자의 브라우저 세션에서 임의의 HTML 및 스크립트 코드를 실행하게 됩니다.
Apache 그룹: 현재 제조업체에서는 패치나 업그레이드를 제공하지 않습니다. 이 소프트웨어 사용자는 항상 제조업체 홈페이지(http://www.apache.org)에 주의하여 최신 버전을 다운로드할 것을 권장합니다.