Apache 安全团队对影响 Apache Web 服务器的每个安全漏洞的影响进行评级。我们选择的评级标准与其他主要供应商使用的标准非常相似,以保持一致性。基本上,评级系统的目标是回答“我应该对这个漏洞有多担心?”这个问题。
请注意,为每个漏洞选择的评级是所有架构中最糟糕的情况。例如,在过去,我们遇到过在某些 BSD 架构上具有严重影响的漏洞,而在其他架构上则没有实际影响。要确定特定漏洞对您自己系统的具体影响,您仍然需要阅读安全公告以了解更多有关该漏洞的信息。
我们使用以下描述来决定对每个漏洞给予的影响评级
被评为严重影响的漏洞是指可能被远程攻击者利用,导致 Apache 执行任意代码(以服务器运行的用户身份或 root 身份)。这些是可能被蠕虫自动利用的漏洞。
被评为重要影响的漏洞是指可能导致服务器数据或可用性被破坏。对于 Apache Web 服务器,这包括允许轻松进行远程拒绝服务攻击(与攻击不成比例或具有持久后果)的问题,访问文档根目录之外的任意文件,或访问应通过限制或身份验证阻止的文件。
如果存在重大缓解措施来降低问题的影响,则漏洞很可能被评为中等。这可能是因为该漏洞不影响可能的配置,或者它是一种不常用的配置,或者远程用户必须经过身份验证才能利用该问题。允许 Apache 提供目录列表而不是索引文件的漏洞包含在此处,以及可能导致 Apache 1.3 中的 Apache 子进程崩溃的漏洞。
所有其他安全漏洞都被归类为低影响。此评级用于被认为极其难以利用的问题,或者利用该问题会导致最小的后果。