Apache HTTP Server 'LD_LIBRARY_PATH'不安全库加载任意代码执行漏洞

2012-10-11T00:00:00
ID SSV:60427
Type seebug
Reporter Root
Modified 2012-10-11T00:00:00

Description

BUGTRAQ ID: 53046 CVE(CAN) ID: CVE-2012-0883

Apache HTTP Server是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一。

Apache HTTP Server 2.4.2之前版本内的envvars (即envvars-std)在LD_LIBRARY_PATH内放置了零长度的目录名称,通过在执行apachectl时在前工作目录内木马DSO,可允许本地用户获取权限。 0 Apache 2.2.x 厂商补丁:

Apache Group

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.apache.org