ZeroBox Vulnerability Database

漏洞起因
设计错误
 
影响系统
Apache Software Foundation Apache 2.2.2
 
不受影响系统
 
危害
远程攻击者可以利用漏洞访问受资源，获得敏感信息。
 
攻击所需条件
攻击者必须访问Apache HTTP Server。
 
漏洞信息
Apache HTTP Server是一款流行的WEB服务程序。
Apache HTTP Server存在HTTP-Basic认证绕过问题，远程攻击者可以利用漏洞访问受资源，获得敏感信息。
当用户要访问需要认证的资源时Apache HTTP Server会返回"401 Authorization Required"消息，也会包含提示需要哪种认证机制的HTTP消息，"Basic"认证是最通用的一种，基于BASE64编码的字符串：<username>:<password>，如果凭据正确，WEB服务器将返回"200 OK"消息并授权访问。
而Apache HTTP Server处理验证存在问题，提交非法的凭据也可能绕过限制，访问受限制的目录和文件。目前还没有提供详细的漏洞细节。
 
测试方法
 
厂商解决方案
目前没有解决方案提供：
http://httpd.apache.org/
 
漏洞提供者
ithilgore