Apache mod_digest客户提供Nonce确认漏洞(CVE-2003-0987)

漏洞描述

Apache是一款流行的WEB服务程序。

Apache mod_digest模块没有充分验证针对用户提供的nonces信息，远程攻击者可以利用这个漏洞可以从其他站点伪造应答信息。

这个漏洞只有在伪造站和服务器上的用户的用户名密码相同，及实际名也相同的情况下产生，不过这种情况比较少。

 

解决方法

以下是各Linux/Unix发行版系统针对此漏洞发布的安全公告，可以参考对应系统的安全公告修复该漏洞:

Gentoo
----------------
GLSA-200405-22: Apache 1.3: Multiple vulnerabilities
链接: https://security.gentoo.org/glsa/200405-22

 

厂商补丁:

建议使用Apache 1.3.32以上的最新版本。

厂商补丁：

Apache Software Foundation
--------------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://httpd.apache.org/