Websecurity - Веб безпека

Виявлені уразливості в Apache, що дозволяють віддаленому користувачу виконати XSS напад і викликати відмову в обслуговуванні додатка.

Уразливі версії: Apache 2.2.6, 2.2.5, 2.2.4, 2.2.3, 2.2.2 и 2.2.0.

1. Уразливість існує через недостатню обробку вхідних даних у модулі mod_imagemap. Віддалений користувач може за допомогою спеціально сформованого запиту виконати довільний код сценарію в браузері жертви в контексті безпеки уразливого сайта. Для успішної експлуатації уразливості модуль mod_imagemap повинний бути включений і mapfile повинний бути публічно доступний.

2. Уразливість існує через недостатню обробку вхідних даних у параметрі “refresh” у модулі mod_status. Віддалений користувач може за допомогою спеціально сформованого запиту виконати довільний код сценарію в браузері жертви в контексті безпеки уразливого сайта. Для успішної експлуатації уразливості модуль mod_status повинний бути включений і сторінка статистики повинна бути публічно доступна.

3. Уразливість існує через недостатню обробку вхідних даних у рядках “worker route” і “worker redirect” у модулі mod_proxy_balancer. Віддалений користувач може за допомогою спеціально сформованого запиту виконати довільний код сценарію в браузері жертви в контексті безпеки уразливого сайта. Для успішної експлуатації уразливості модуль mod_proxy_balancer повинний бути включений.

4. Уразливість існує через помилку у функціоналі менеджера балансування навантаження в модулі mod_proxy_balancer. Зловмисник може вказати невірне ім’я балансувальника і викликати відмову в обслуговуванні.

5. Уразливість у модулі mod_proxy_ftp при сконфігурованому перенаправляючому проксі. Віддалений користувач може виконати XSS атаку.

• Множественные уязвимости в Apache (деталі)

This entry was posted on 22:36 19.03.2008 and is filed under Новини, Помилки. You can follow any responses to this entry through the RSS 2.0 feed.