Apache et le module mod_rewrite
Date : 26 Juillet 2005
Apache et le module mod_rewrite
Le module mod_rewrite du serveur web Apache est implémenté dans le fichier mod_rewrite.c, à partir de la version 1.2 d'Apache. Il fournit un interpréteur de règles (basées sur des expressions régulières) dont l'action est de réécrire "au vol" les URL requises. mod_rewrite n'est pas compilé par défaut
Un problème a été découvert dans une utilisation spécifique de la directive RewriteRule. Il permet à un utilisateur distant d’accéder à n’importe quel fichier du système herbégeant le serveur web.
Ce problème a été corrigé dans la version1.3.13 d’Apache (http://httpd.apache.org/dist/)
Article dans ApacheWeek : http://www.apacheweek.com/issues/00-09-22#security
Avis de Linux Red Hat : http://www.redhat.com/support/errata/RHSA-2000-088-04.html
Avis de Linux Caldera : http://www.calderasystems.com/support/security/advisories/CSSA-2000-035.0.txt
Avis d’OpenBSD : http://www.openbsd.org/errata.html#httpd
Le serveur Praesidium Web Proxy de Helwett Packard utilisant le serveur Apache avec son module mod_rewrite peut être également vulnérable.
Avis de HP (HPSBUX0010-126) : http://itrc.hp.com