Множественные уязвимости в Apache
| Дата публикации: | 22.08.2012 |
| Всего просмотров: | 3774 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 2 |
| CVSSv2 рейтинг: | 2.6 (AV:N/AC:H/Au:N/C:P/I:N/A:N/E:U/RL:O/RC:C) 2.6 (AV:N/AC:H/Au:N/C:N/I:P/A:N/E:U/RL:O/RC:C) |
| CVE ID: |
CVE-2012-2687 CVE-2012-3502 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Раскрытие важных данных |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Apache 2.4.x |
| Уязвимые версии: Apache версий до 2.4.3
Описание: 1. Уязвимость существует из-за того, что модули mod_proxy_ajp и mod_proxy_http, которые некорректно прекращают соединение с back end при обработке ошибок. Удаленный пользователь может с помощью специально сформированного HTTP запроса раскрыть определенную информацию ответа жертвы. 2. Уязвимость существует из-за того, что определенные входные данные в именах файлов в модуле mod_negotiation обрабатываются некорректно. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. URL производителя: http://apache.org/ Решение: Для устранения уязвимости установите продукт версии 2.4.3 с сайта производителя. |
|
| Ссылки: |
http://httpd.apache.org/security/vulnerabilities_24.html http://www.apache.org/dist/httpd/CHANGES_2.4.3 |