Рекомендация Debian по безопасности
DSA-181-1 libapache-mod-ssl -- межсайтовый скриптинг
- Дата сообщения:
- 22.10.2002
- Затронутые пакеты:
- libapache-mod-ssl
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 6029.
В каталоге Mitre CVE: CVE-2002-1157. - Более подробная информация:
-
Джо Ортон обнаружил межсайтовый скриптинг в mod_ssl, модуле Apache, добавляющем веб-серверу стойкое шифрование (то есть, поддержку HTTPS). Этот модуль возвращает имя сервера в неэкранированном виде в ответе на HTTP-запрос по порту SSL.
Подобно другим недавним XSS-ошибкам Apache эта касается только тех серверов, на которых одновременно используется "UseCanonicalName off" (по умолчанию в пакете Debian) и шаблон DNS. Хотя это крайне маловероятно. Apache 2.0/mod_ssl не уязвим, поскольку в нём этот код HTML экранирруется.
Если включена указанная настройка, то когда Apache требуется создать указывающий на себя URL (URL, который указывает на сервер, от которого отправлен запрос), то он использует ServerName и Port для формирования "канонического" имени. При отключении этой настройки Apache использует по возможности hostname:port, переданные клиентом. Это также касается SERVER_NAME и SERVER_PORT в CGI-сценариях.
Эта проблема была исправлена в версии 2.8.9-2.1 для текущего стабильного выпуска (woody), в версии 2.4.10-1.3.9-1potato4 для предыдущего стабильного выпуска (potato) и в версии 2.8.9-2.3 для нестабильного выпуска (sid).
Рекомендуется обновить пакет libapache-mod-ssl.
- Исправлено в:
-
Debian GNU/Linux 2.2 (potato)
- Исходный код:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4.dsc
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4.diff.gz
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9.orig.tar.gz
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl-doc_2.4.10-1.3.9-1potato4_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_i386.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_m68k.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_powerpc.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_sparc.deb
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1.dsc
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1.diff.gz
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9.orig.tar.gz
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl-doc_2.8.9-2.1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_ia64.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_sparc.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.