有没有人有一个想法如何在不升级Web服务器的情况下修复此漏洞Apache 2.2.4?这是我在网上发现的SecurityReason。他们建议的修复方法是将其升级到版本2.2.6。但服务器正在运行,升级t是最后的手段。Apache2未定义的字符集UTF-7 XSS漏洞
的Apache2 XSS未定义字符集UTF7 XSS弱点
的XSS(UTF7)存在于mod_autoindex.c 。字符集没有被定义,我们可以使用“P”选项 在Apache 2.2.4中通过设置 将字符集设置为UTF-7来提供XSS攻击。
“P =模式只列出匹配 指定样式文件”
请提出一个解决方案。
那么,首先它只会影响你,如果你使用mod_autoindex。如果你不是,那么现在你可以停止阅读,因为你正在运行的代码没有漏洞(尽管理想的情况是,在你更新服务器之前不要使用这个模块)。
否则,攻击者似乎可以利用字符集未明确设置为将其自己的脚本嵌入给定特别制作的URL的页面的事实。该URL将使用“P”参数来为自动索引指定过滤器;可以理解的是,没有给出一个示例漏洞利用的例子,但是假设某些对文本的巧妙操纵将允许攻击者将自己的Javascript插入返回的页面。
因此,这是一个标准的XSS attack(如果您不熟悉分支,请阅读链接)。
我会强烈建议你升级,如果你受到影响,为了获得充分的安全。网站的安全升级需要一段时间才能被用户理解,并且比攻击漏洞要好得多。但是,与此同时,解决方法是从传入请求中去除任何P参数(假设您的站点上没有其他页面接受这样的参数,并且没有其他页面依赖于将过滤器传递给自动索引页面),或者甚至只是禁用自动分配模块。
我最终更新到Apache 2.2.11!
但是,dtsazza的回答是对的,但我的VA测试团队不会购买它。 :)
谢谢,你是对的 - 但它没有帮助服务器通过漏洞评估测试,所以升级它。 – 2009-02-10 07:15:45