1. CVE-Search
  2. CVE-2002-0653
ID CVE-2002-0653
Summary Off-by-one buffer overflow in the ssl_compat_directive function, as called by the rewrite_command hook for mod_ssl Apache module 2.8.9 and earlier, allows local users to execute arbitrary code as the Apache server user via .htaccess files with long entries.
References
Vulnerable Configurations
  • cpe:2.3:a:modssl:mod_ssl:2.0.39:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.0.39:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.0.40:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.0.40:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.0.43:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.0.43:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.0.44:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.0.44:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.0.45:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.0.45:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.0.47:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.0.47:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.0.48:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.0.48:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.0.49:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.0.49:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.0.50:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.0.50:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.0.51:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.0.51:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.0.52:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.0.52:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.0.53:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.0.53:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.0.54:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.0.54:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.0.55:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.0.55:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.0.58:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.0.58:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.0.59:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.0.59:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.1.9:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.1.9:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.2.2:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.2.2:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.2.3:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.2.3:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.2.4:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.2.4:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.3.5:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.3.5:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.4.5:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.4.5:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.6.4:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.6.4:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.6.6:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.6.6:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.7.1:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.7.1:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.7.2:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.7.2:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.8.0:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.8.0:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.8.1:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.8.1:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.8.2:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.8.2:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.8.3:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.8.3:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.8.4:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.8.4:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.8.5:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.8.5:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.8.7:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.8.7:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.8.8:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.8.8:*:*:*:*:*:*:*
  • cpe:2.3:a:modssl:mod_ssl:2.8.9:*:*:*:*:*:*:*
    cpe:2.3:a:modssl:mod_ssl:2.8.9:*:*:*:*:*:*:*
CVSS
Base: 4.6 (as of 02-02-2024 - 02:50)
Impact:
Exploitability:
CWE CWE-193
CAPEC
Access
VectorComplexityAuthentication
LOCAL LOW NONE
Impact
ConfidentialityIntegrityAvailability
PARTIAL PARTIAL PARTIAL
cvss-vector via4 AV:L/AC:L/Au:N/C:P/I:P/A:P
redhat via4
advisories
  • rhsa
    id RHSA-2002:134
  • rhsa
    id RHSA-2002:135
  • rhsa
    id RHSA-2002:136
  • rhsa
    id RHSA-2002:146
  • rhsa
    id RHSA-2002:164
  • rhsa
    id RHSA-2003:106
refmap via4
bid 5084
bugtraq
  • 20020624 Apache mod_ssl off-by-one vulnerability
  • 20020628 TSL-2002-0058 - apache/mod_ssl
caldera CSSA-2002-031.0
conectiva CLA-2002:504
debian DSA-135
engarde ESA-20020702-017
hp HPSBTL0207-052
mandrake MDKSA-2002:048
suse SuSE-SA:2002:028
vuln-dev 20020622 Another flaw in Apache?
xf apache-modssl-htaccess-bo(9415)
Last major update 02-02-2024 - 02:50
Published 11-07-2002 - 04:00
Last modified 02-02-2024 - 02:50
Back to Top