Apache2 undefiniert Charset UTF-7 XSS Vulnerability
Frage
Hat jemand eine Idee, wie kann ich diese Sicherheitsanfälligkeit in fix Apache 2.2.4 , ohne den Web-Server zu aktualisieren?
Das ist, was ich über sie im Netz unter SecurityReason . Das Update von ihnen vorgeschlagen ist es auf Version 2.2.6 zu aktualisieren. Aber der Server ist Live und Modernisierung t ist der letzte Ausweg.
Apache2 XSS undefiniert Charset UTF-7 XSS Vulnerability
Die XSS (UTF7) sind in mod_autoindex.c . Charset nicht definiert ist, und wir können bieten XSS-Angriff „P“ Option in Apache 2.2.4, indem Charset auf UTF-7.
"P = Muster listet nur Dateien Matching das gegebene Muster "
Bitte schlagen eine Lösung.
Lösung
Nun, zunächst bis es nur geht Sie beeinflussen, wenn Sie die mod_autoindex . Wenn Sie nicht, dann können Sie jetzt aufhören zu lesen, da es keine Sicherheitslücke auf Code ist Sie laufen (obwohl im Idealfall nicht starten dieses Modul verwenden, bis Sie den Server aktualisiert haben).
Ansonsten scheint es, dass ein Angreifer die Tatsache ausnutzen, dass der Zeichensatz nicht explizit ihre eigenen Skript in eine Seite festgelegt ist eine besonders gestaltete URL gegeben einzubetten. Diese URL würde die „P“ Parameter verwenden, um einen Filter für den autoindexing zu spezifizieren; ein Beispiel-Exploit wurde verständlicherweise nicht gegeben, aber vermutlich gewisses kluges Manipulieren von Text ermöglicht es dem Angreifer ihre eigenen Javascript auf die zurückgegebene Seite einzufügen.
Es ist also ein Standard XSS-Angriff (lesen Sie den Link, wenn Sie nicht sind vertraut mit den Verzweigungen).
würde ich stark vorschlagen, dass Sie ein Upgrade, wenn Sie betroffen sind, um die volle Sicherheit zu bekommen. Unter einer Website nach unten für eine Weile für Sicherheits-Upgrades sollten von den Nutzern verstanden werden, und es ist viel besser als Leiden ein Exploit. Jedoch keine P-Parameter eine Abhilfe in der Zwischenzeit Streifen aus von eingehenden Anfragen wäre (unter der Annahme, dass keine anderen Seiten auf Ihrer Website einen solchen Parameter akzeptieren, und dass keine anderen Seiten stützen sich auf Weitergabe Filter Seiten autoindexed), oder auch nur deaktivieren die autoindexing mod zusammen.
Andere Tipps
Ich landete auf Apache 2.2.11 aktualisieren!
Allerdings dtsazza 's Antwort war richtig, aber mein VA Testteam würde es nicht kaufen. :)