发布日期：2019-07-02
更新日期：2019-07-02

受影响系统：

Apache Apache 2.4.9
Apache Apache 2.4.7
Apache Apache 2.4.4
Apache Apache 2.4.38
Apache Apache 2.4.37
Apache Apache 2.4.35
Apache Apache 2.4.34
Apache Apache 2.4.33
Apache Apache 2.4.3
Apache Apache 2.4.29
Apache Apache 2.4.28
Apache Apache 2.4.27
Apache Apache 2.4.26
Apache Apache 2.4.25
Apache Apache 2.4.23
Apache Apache 2.4.20
Apache Apache 2.4.2
Apache Apache 2.4.18
Apache Apache 2.4.17
Apache Apache 2.4.16
Apache Apache 2.4.12
Apache Apache 2.4.10

不受影响系统：

Apache Apache 2.4.39

描述：

---

BUGTRAQ  ID: 107668
CVE(CAN) ID: CVE-2019-0217

Apache HTTP Server存在一个认证绕过漏洞。
在Apache HTTP Server 2.4 2.4.38及更早版本中，当在线程服务器中运行时，mod_auth_digest中的竞争条件可能允许具有有效凭据的用户使用另一个用户名进行身份验证，从而绕过已配置的访问控制限制。

攻击者可以利用此问题绕过身份验证机制并执行未经授权的操作。这可能会导致进一步的攻击。

<*链接：https://httpd.apache.org/security/vulnerabilities_24.html
*>

建议：

---

厂商补丁：

Apache
------
Apache已经为此发布了一个安全公告（CVE-2019-0217）以及相应补丁:
CVE-2019-0217：mod_ssl access control bypass
链接：https://httpd.apache.org/security/vulnerabilities_24.html

补丁下载：

浏览次数：1603
严重程度：0（网友投票）