有没有人知道如何在不升级Web服务器的情况下在 Apache 2.2.4 中修复此漏洞?
这是我在SecurityReason网上发现的。他们建议的修复是将其升级到2.2.6版。但服务器是实时的,升级是最后的手段。
Apache2 XSS未定义的字符集UTF-7 XSS漏洞
mod_autoindex.c中存在XSS(UTF7) 。 Charset没有定义,我们可以 使用“P”选项提供XSS攻击 通过设置在apache 2.2.4中可用 Charset转UTF-7。
“P =模式仅列出匹配的文件 给定的模式“
请为此提出解决方案。
答案 0 :(得分:1)
好吧,首先它只会影响你,如果你使用mod_autoindex。如果你不是那么你现在可以停止阅读,因为你正在运行的代码没有漏洞(尽管理想情况下,在你更新服务器之前不要开始使用这个模块。)
否则,似乎攻击者可以利用这样的事实:字符集未明确设置为将自己的脚本嵌入到给定特制URL的页面中。此URL将使用“P”参数以指定自动索引的过滤器;可以理解的是,一个示例漏洞利用没有被给出,但可能某些聪明的文本操作将允许攻击者将他们自己的Javascript插入到返回的页面上。
因此它是一个标准XSS attack(如果你不熟悉分支,请阅读链接)。
如果您受到影响,我会强烈建议您升级,以获得完全的安全性。一个网站暂时停止安全升级应该被其用户理解,并且它比遭受漏洞要好得多。但是,同时解决方法是从传入的请求中删除任何P参数(假设您站点上没有其他页面接受这样的参数,并且没有其他页面依赖于将过滤器传递给自动索引的页面),或者甚至只是禁用完全自动索引模型。
答案 1 :(得分:0)
我最终更新到Apache 2.2.11!
然而,dtsazza的答案是正确的,但我的VA测试团队不会购买它。 :)