Apache2 Vulnerabilità legata al XSS UTF-7 non definito Charset
https://stackoverflow.com/questions/446501
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Qualcuno ha un'idea di come posso risolvere questa vulnerabilità in Apache 2.2.4 , senza aggiornare il Web Server?
Questo è ciò che ho trovato al riguardo su SecurityReason . La soluzione suggerita da loro è di aggiornarlo alla versione 2.2.6. Ma il server è attivo e l'aggiornamento è l'ultima risorsa.
Apache2 XSS non definito Charset UTF-7 XSS vulnerabilità
L'XSS (UTF7) esiste in mod_autoindex.c . Charset non è definito e possiamo fornire un attacco XSS usando " P " opzione disponibile in apache 2.2.4 impostando Charset su UTF-7.
" P = modello elenca solo i file corrispondenti il modello dato "
Per favore, suggerisci una soluzione per questo.
Soluzione
Bene, prima di tutto ti influenzerà solo se stai usando mod_autoindex . In caso contrario, puoi smettere di leggere ora poiché non esiste alcuna vulnerabilità sul codice in esecuzione (anche se idealmente, non iniziare a utilizzare questo modulo fino a quando non hai aggiornato il server).
Altrimenti, sembra che un utente malintenzionato possa sfruttare il fatto che il set di caratteri non è impostato in modo esplicito per incorporare il proprio script in una pagina con un URL particolarmente predisposto. Questo URL utilizza la "quot" P " parametro per specificare un filtro per l'autoindicizzazione; comprensibilmente non è stato fornito un exploit di esempio, ma presumibilmente una manipolazione intelligente del testo consentirebbe all'attaccante di inserire il proprio Javascript nella pagina restituita.
Quindi è un attacco XSS standard (leggi il link se non lo sei) familiarità con le ramificazioni).
Suggerirei fortemente di aggiornare, se ne risenti, per ottenere la massima sicurezza. La rimozione di un sito Web per un po 'di aggiornamenti di sicurezza dovrebbe essere compresa dai suoi utenti ed è molto meglio che subire un exploit. Tuttavia, nel frattempo una soluzione alternativa sarebbe quella di eliminare qualsiasi parametro P dalle richieste in arrivo (supponendo che nessun'altra pagina del tuo sito accetti tale parametro e che nessuna altra pagina faccia affidamento sul passaggio di filtri a pagine autoindicizzate), o addirittura disabilita la mod autoindicante del tutto.
Altri suggerimenti
Ho finito per aggiornare ad Apache 2.2.11!
Tuttavia, la risposta di dtsazza era corretta, ma il mio team di test VA non l'avrebbe acquistata. :)
