Численні уразливості в Apache
22:36 19.03.2008Виявлені уразливості в Apache, що дозволяють віддаленому користувачу виконати XSS напад і викликати відмову в обслуговуванні додатка.
Уразливі версії: Apache 2.2.6, 2.2.5, 2.2.4, 2.2.3, 2.2.2 и 2.2.0.
1. Уразливість існує через недостатню обробку вхідних даних у модулі mod_imagemap. Віддалений користувач може за допомогою спеціально сформованого запиту виконати довільний код сценарію в браузері жертви в контексті безпеки уразливого сайта. Для успішної експлуатації уразливості модуль mod_imagemap повинний бути включений і mapfile повинний бути публічно доступний.
2. Уразливість існує через недостатню обробку вхідних даних у параметрі “refresh” у модулі mod_status. Віддалений користувач може за допомогою спеціально сформованого запиту виконати довільний код сценарію в браузері жертви в контексті безпеки уразливого сайта. Для успішної експлуатації уразливості модуль mod_status повинний бути включений і сторінка статистики повинна бути публічно доступна.
3. Уразливість існує через недостатню обробку вхідних даних у рядках “worker route” і “worker redirect” у модулі mod_proxy_balancer. Віддалений користувач може за допомогою спеціально сформованого запиту виконати довільний код сценарію в браузері жертви в контексті безпеки уразливого сайта. Для успішної експлуатації уразливості модуль mod_proxy_balancer повинний бути включений.
4. Уразливість існує через помилку у функціоналі менеджера балансування навантаження в модулі mod_proxy_balancer. Зловмисник може вказати невірне ім’я балансувальника і викликати відмову в обслуговуванні.
5. Уразливість у модулі mod_proxy_ftp при сконфігурованому перенаправляючому проксі. Віддалений користувач може виконати XSS атаку.
- Множественные уязвимости в Apache (деталі)