http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200403-042

Apache是一款开放源代码WEB服务程序，其中可通过SSL对通信进行加密。Apache-SSL在部分配置情况下存在问题，远程攻击者可以利用这个漏洞伪造客户端证书进行认证。如果把SSLVerifyClient设置为1或3(客户端证书可选)及SSLFakeBasicAuth，Apache-SSL1.3.28+1.52及之前版本允许客户端使用实际BASIC验证来伪造客户端证书。所有攻击者需要一个合法用户的”one-lineDN”，用于在Apache-SSL伪造BASICAUTH，和一个固定的密码(默认是”password”)。

来源:BUGTRAQ
名称:20040206Apache-SSLsecurityadvisory-apache_1.3.28+ssl_1.52andprior
链接:http://marc.theaimsgroup.com/?l=bugtraq&m;=107619127531765&w;=2
来源:XF
名称:apachessl-default-password(15065)
链接:http://xforce.iss.net/xforce/xfdb/15065
来源:BID
名称:9590
链接:http://www.securityfocus.com/bid/9590
来源:www.apache-ssl.org
链接:http://www.apache-ssl.org/advisory-20040206.txt
来源:OSVDB
名称:3877
链接:http://www.osvdb.org/3877
来源:FULLDISC
名称:20040206[apache-ssl]Apache-SSLsecurityadvisory-apache_1.3.28+ssl_1.52andprior
链接:http://lists.grok.org.uk/pipermail/full-disclosure/2004-February/016870.html