Boletines de Vulnerabilidades |
Vulnerabilidad de cross site scripting en mod_ssl para Apache |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado | mod_ssl <= 2.8.9 |
Descripción |
|
Se ha descubierto una vulnerabilidad en el módulo mod_ssl, para Apache. La vulnerabilidad se manifiesta en sistemas con la opción UseCanonicalName deshabilitada y wildcard DNS habilitado. Un atacante puede explotar esta vulnerabilidad mediante un enlace que contenga código HTML y script como parte del hostname. Cuando un usuario accede a este enlace, el código proporcionado por el atacante se ejecutará en el cliente web. |
|
Solución |
|
Aplique los mecanismos de actualización propios de su distribución, o bien obtenga las fuentes del software y compílelo usted mismo. Actualización de software Proyecto mod_ssl http://www.modssl.org/ Mandrake Linux ftp://ftp.planetmirror.com/pub/Mandrake/updates Debian Linux http://security.debian.org |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CAN-2002-1157 |
BID | |
Recursos adicionales |
|
Debian Security Advisory DSA 181-1 http://www.debian.org/security/2002/dsa-181 Mandrake Security Advisory MDKSA-2002:072 http://www.mandrakesecure.net/en/advisories/2002/MDKSA-2002-072.php Bugtraq ID: 6029 http://online.securityfocus.com/bid/6029 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2003-10-28 |