Vous êtes sur le site public du Cert-IST
Apache et le module mod_rewrite

Date :26 Juillet 2005

Publication: Article

Apache et le module mod_rewrite

Le module mod_rewrite du serveur web Apache est implémenté dans le fichier mod_rewrite.c, à partir de la version 1.2 d'Apache. Il fournit un interpréteur de règles (basées sur des expressions régulières) dont l'action est de réécrire "au vol" les URL requises. mod_rewrite n'est pas compilé par défaut

Un problème a été découvert dans une utilisation spécifique de la directive RewriteRule. Il permet à un utilisateur distant d’accéder à n’importe quel fichier du système herbégeant le serveur web.

Ce problème a été corrigé dans la version1.3.13 d’Apache (http://httpd.apache.org/dist/)

Article dans ApacheWeek : http://www.apacheweek.com/issues/00-09-22#security

Avis de Linux Red Hat : http://www.redhat.com/support/errata/RHSA-2000-088-04.html

Avis de Linux Caldera : http://www.calderasystems.com/support/security/advisories/CSSA-2000-035.0.txt

Avis d’OpenBSD : http://www.openbsd.org/errata.html#httpd

Le serveur Praesidium Web Proxy de Helwett Packard utilisant le serveur Apache avec son module mod_rewrite peut être également vulnérable.

Avis de HP (HPSBUX0010-126) : http://itrc.hp.com