有沒有人有一個想法如何在不升級Web服務器的情況下修復此漏洞Apache 2.2.4?這是我在網上發現的SecurityReason。他們建議的修復方法是將其升級到版本2.2.6。但服務器正在運行,升級t是最後的手段。Apache2未定義的字符集UTF-7 XSS漏洞
的Apache2 XSS未定義字符集UTF7 XSS弱點
的XSS(UTF7)存在於mod_autoindex.c 。字符集沒有被定義,我們可以使用「P」選項 在Apache 2.2.4中通過設置 將字符集設置爲UTF-7來提供XSS攻擊。
「P =模式只列出匹配 指定樣式文件」
請提出一個解決方案。
那麼,首先它只會影響你,如果你使用mod_autoindex。如果你不是,那麼現在你可以停止閱讀,因爲你正在運行的代碼沒有漏洞(儘管理想的情況是,在你更新服務器之前不要使用這個模塊)。
否則,攻擊者似乎可以利用字符集未明確設置爲將其自己的腳本嵌入給定特別製作的URL的頁面的事實。該URL將使用「P」參數來爲自動索引指定過濾器;可以理解的是,沒有給出一個示例漏洞利用的例子,但是假設某些對文本的巧妙操縱將允許攻擊者將自己的Javascript插入返回的頁面。
因此,這是一個標準的XSS attack(如果您不熟悉分支,請閱讀鏈接)。
我會強烈建議你升級,如果你受到影響,爲了獲得充分的安全。網站的安全升級需要一段時間才能被用戶理解,並且比攻擊漏洞要好得多。但是,與此同時,解決方法是從傳入請求中去除任何P參數(假設您的站點上沒有其他頁面接受這樣的參數,並且沒有其他頁面依賴於將過濾器傳遞給自動索引頁面),或者甚至只是禁用自動分配模塊。
我最終更新到Apache 2.2.11!
但是,dtsazza的回答是對的,但我的VA測試團隊不會購買它。 :)
謝謝,你是對的 - 但它沒有幫助服務器通過漏洞評估測試,所以升級它。 – 2009-02-10 07:15:45