Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:N/A:N)
Производитель ПО
Описание
Уязвимость обхода каталога в Apache HTTP Server и Tomcat при использовании определенных proxy-модулей (mod_proxy, mod_rewrite, mod_jk) позволяет злоумышленникам, действующим удаленно, читать произвольные файлы, используя последовательность .. (точка точка) в комбинации с одним из следующих символов: символ "/" (слэш), символ "\" (обратный слэш) и URL-закодированный обратный слэш (%5C) в URL. Эти символы являются корректными разделителями в Tomcat, но не являются таковыми в Apache.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.apache.org/
http://tomcat.apache.org/
http://www.apache.org/
http://tomcat.apache.org/
Ссылки
BID (22960): http://www.securityfocus.com/bid/22960
BUGTRAQ (20070314 SEC Consult SA-20070314-0 :: Apache HTTP Server / Tomcat directory traversal): http://www.securityfocus.com/archive/1/archive/1/462791/100/0/threaded
http://www.sec-consult.com/287.html
http://www.sec-consult.com/fileadmin/Advisories/20070314-0-apache_tomcat_directory_traversal.txt
FRSIRT (ADV-2007-0975): http://www.frsirt.com/english/advisories/2007/0975
XF (tomcat-proxy-directory-traversal(32988)): http://xforce.iss.net/xforce/xfdb/32988
SUSE (SUSE-SR:2007:005): http://www.novell.com/linux/security/advisories/2007_5_sr.html
GENTOO (GLSA-200705-03): http://security.gentoo.org/glsa/glsa-200705-03.xml
http://tomcat.apache.org/security-4.html
http://tomcat.apache.org/security-5.html
http://tomcat.apache.org/security-6.html
REDHAT (RHSA-2007:0327): http://www.redhat.com/support/errata/RHSA-2007-0327.html
BUGTRAQ (20070314 SEC Consult SA-20070314-0 :: Apache HTTP Server / Tomcat directory traversal): http://www.securityfocus.com/archive/1/archive/1/462791/100/0/threaded
http://www.sec-consult.com/287.html
http://www.sec-consult.com/fileadmin/Advisories/20070314-0-apache_tomcat_directory_traversal.txt
FRSIRT (ADV-2007-0975): http://www.frsirt.com/english/advisories/2007/0975
XF (tomcat-proxy-directory-traversal(32988)): http://xforce.iss.net/xforce/xfdb/32988
SUSE (SUSE-SR:2007:005): http://www.novell.com/linux/security/advisories/2007_5_sr.html
GENTOO (GLSA-200705-03): http://security.gentoo.org/glsa/glsa-200705-03.xml
http://tomcat.apache.org/security-4.html
http://tomcat.apache.org/security-5.html
http://tomcat.apache.org/security-6.html
REDHAT (RHSA-2007:0327): http://www.redhat.com/support/errata/RHSA-2007-0327.html