APACHE2 undefined charset UTF-7 XSS 취약점

Question

누구 든지이 취약점을 어떻게 고칠 수 있습니까? 아파치 2.2.4, 웹 서버를 업그레이드하지 않고?

이것은 내가 그물에서 그것에 대해 찾은 것입니다. SecurityReason. 그들에 의해 제안 된 수정은 버전 2.2.6으로 업그레이드하는 것입니다. 그러나 서버는 라이브이며 T는 최후의 수단입니다.

Apache2 XSS 정의되지 않은 charset UTF-7 XSS 취약점

XSS (UTF7)가 있습니다 mod_autoindex.c. Charset은 정의되지 않으며 Apache 2.2.4에서 사용 가능한 "P"옵션을 사용하여 charset을 UTF-7으로 설정하여 XSS 공격을 제공 할 수 있습니다.

"P = 패턴은 주어진 패턴과 일치하는 파일 만 나열합니다."

이를위한 해결책을 제안하십시오.

Answer 1

글쎄, 먼저 당신이 사용하는 경우에만 영향을 미칩니다. mod_autoindex. 그렇지 않은 경우 실행중인 코드에 취약점이 없으므로 지금 읽기를 중단 할 수 있습니다 (이상적으로는 서버를 업데이트 할 때 까지이 모듈을 사용하지 마십시오).

그렇지 않으면 공격자가 캐릭터 세트가 특히 제작 된 URL이 주어진 페이지에 자신의 스크립트를 포함하도록 명시 적으로 설정되지 않았다는 사실을 악용 할 수있는 것 같습니다. 이 URL은자가 인덱싱에 대한 필터를 지정하기 위해 "P"매개 변수를 사용합니다. Exploit은 당연히 제공되지 않았지만 아마도 텍스트의 영리한 조작을 통해 공격자가 자신의 JavaScript를 반환 된 페이지에 삽입 할 수 있습니다.

따라서 표준입니다 XSS 공격 (파급 효과에 익숙하지 않은 경우 링크를 읽으십시오).

나는 할 것이다 강하게 완전한 보안을 얻기 위해 영향을받는 경우 업그레이드를 제안하십시오. 보안 업그레이드를 위해 잠시 동안 웹 사이트를 적어 놓는 것은 사용자가 이해해야하며, 이용을 겪는 것보다 훨씬 낫습니다. 그러나 그 동안의 해결 방법은 들어오는 요청에서 P 매개 변수를 제거하는 것입니다 (사이트의 다른 페이지가 해당 매개 변수를 수락하지 않으며 다른 페이지가자가 인덱스 페이지로 필터를 전달하는 데 의존하지 않는다고 가정합니다). 자가 인덱싱 모드는 모두.

Answer 2

나는 Apache 2.2.11로 업데이트되었습니다!

하지만, Dtsazza대답은 옳았지만 VA 테스트 팀은 구매하지 않을 것입니다. :)