Межсайтовый скриптинг в Apache
| Дата публикации: | 13.12.2007 |
| Дата изменения: | 25.03.2008 |
| Всего просмотров: | 6563 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2007-5000 CVE-2007-6388 CVE-2008-0005 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Межсайтовый скриптинг |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
Apache 2.0.x
Apache 1.3.x |
| Уязвимые версии: Apache 1.3.39, 1.3.37, 1.3.36, 1.3.35, 1.3.34, 1.3.33, 1.3.32, 1.3.31, 1.3.29, 1.3.28, 1.3.27, 1.3.26, 1.3.24, 1.3.22, 1.3.20, 1.3.19, 1.3.17, 1.3.14, 1.3.12, 1.3.11, 1.3.9, 1.3.6, 1.3.4, 1.3.3, 1.3.2, 1.3.1 и 1.3.0 Apache 2.0.61, 2.0.59, 2.0.58, 2.0.55, 2.0.54, 2.0.53, 2.0.52, 2.0.51, 2.0.50, 2.0.49, 2.0.48, 2.0.47, 2.0.46, 2.0.45, 2.0.44, 2.0.43, 2.0.42, 2.0.40, 2.0.39, 2.0.37, 2.0.36 и 2.0.35 Описание: 1. Уязвимость существует из-за недостаточной обработки входных данных в модуле "mod_imap". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Для успешной эксплуатации уязвимости требуется, чтобы "mod_imap" был включен и mapfile был публично доступен. 2. Уязвимость существует из-за недостаточной обработки входных данных в параметре "refresh" в модуле "mod_status". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Для успешной эксплуатации уязвимости требуется, чтобы "mod_status" был включен и публично доступен. 3. Уязвимость существует из-за недостаточной обработки входных данных в модуле "mod_proxy_ftp", если сконфигурирован перенаправляющий прокси. Удаленный пользователь может произвести XSS нападение. Уязвимость существует в версиях 2.0.x. URL производителя: www.apache.org Решение: Установите последнюю версию 1.3.41 или 2.0.63 с сайта производителя. Журнал изменений:
22.01.2008 |