Vulnerability Bulletins |
Vulnerabilidad de "cross-site scripting" en Apache |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software |
Apache 2.0 - 2.0.42 Apache 1.3.x - 1.3.26 |
Description |
|
| Existe una vulnerabilidad de "cross-site scripting" en la página de error creada por defecto en las versiones de Apache 2.0 anteriores a la 2.0.43, y de la 1.3.x a la 1.3.26. Este fallo se produce cuando UseCanonicalName está deshabilitado y se da soporte para wildcard DNS; el aprovechamiento de esta vulnerabilidad podría permitir que un atacante remoto secuestrase sesiones web, permitiendo un amplio rango de potenciales compromisos en el servidor tomado como objetivo. | |
Solution |
|
|
Actualización de software: Apache Apache 2.0 - 2.0.42: http://www.apache.org/dist/httpd/patches/apply_to_2.0.42/escape_servername.patch Apache 1.3.x - 1.3.26: http://mirrors.ccs.neu.edu/Apache/dist/httpd/apache_1.3.28.tar.gz |
|
Standar resources |
|
| Property | Value |
| CVE | CAN-2002-0840 |
| BID | |
Other resources |
|
|
BUGTRAQ:20021002 Apache 2 Cross-Site Scripting http://marc.theaimsgroup.com/?l=bugtraq&m=103357160425708&w=2 VULNWATCH:20021002 Apache 2 Cross-Site Scripting http://archives.neohapsis.com/archives/vulnwatch/2002-q4/0003.html |
|
Version history |
||
| Version | Comments | Date |
| 1.3 | Aviso emitido por Debian (DSA-2297-1) | 2011-08-25 |
| 1.0 | Aviso emitido | 2013-02-25 |