Boletines de Vulnerabilidades |
Vulnerabilidad de "cross-site scripting" en Apache |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado |
Apache 2.0 - 2.0.42 Apache 1.3.x - 1.3.26 |
Descripción |
|
Existe una vulnerabilidad de "cross-site scripting" en la página de error creada por defecto en las versiones de Apache 2.0 anteriores a la 2.0.43, y de la 1.3.x a la 1.3.26. Este fallo se produce cuando UseCanonicalName está deshabilitado y se da soporte para wildcard DNS; el aprovechamiento de esta vulnerabilidad podría permitir que un atacante remoto secuestrase sesiones web, permitiendo un amplio rango de potenciales compromisos en el servidor tomado como objetivo. | |
Solución |
|
Actualización de software: Apache Apache 2.0 - 2.0.42: http://www.apache.org/dist/httpd/patches/apply_to_2.0.42/escape_servername.patch Apache 1.3.x - 1.3.26: http://mirrors.ccs.neu.edu/Apache/dist/httpd/apache_1.3.28.tar.gz |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CAN-2002-0840 |
BID | |
Recursos adicionales |
|
BUGTRAQ:20021002 Apache 2 Cross-Site Scripting http://marc.theaimsgroup.com/?l=bugtraq&m=103357160425708&w=2 VULNWATCH:20021002 Apache 2 Cross-Site Scripting http://archives.neohapsis.com/archives/vulnwatch/2002-q4/0003.html |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.3 | Aviso emitido por Debian (DSA-2297-1) | 2011-08-25 |
1.0 | Aviso emitido | 2013-02-25 |