Vulnerability Bulletins |
Vulnerabilidad de cross site scripting en mod_ssl para Apache |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | mod_ssl <= 2.8.9 |
Description |
|
|
Se ha descubierto una vulnerabilidad en el módulo mod_ssl, para Apache. La vulnerabilidad se manifiesta en sistemas con la opción UseCanonicalName deshabilitada y wildcard DNS habilitado. Un atacante puede explotar esta vulnerabilidad mediante un enlace que contenga código HTML y script como parte del hostname. Cuando un usuario accede a este enlace, el código proporcionado por el atacante se ejecutará en el cliente web. |
|
Solution |
|
|
Aplique los mecanismos de actualización propios de su distribución, o bien obtenga las fuentes del software y compílelo usted mismo. Actualización de software Proyecto mod_ssl http://www.modssl.org/ Mandrake Linux ftp://ftp.planetmirror.com/pub/Mandrake/updates Debian Linux http://security.debian.org |
|
Standar resources |
|
| Property | Value |
| CVE | CAN-2002-1157 |
| BID | |
Other resources |
|
|
Debian Security Advisory DSA 181-1 http://www.debian.org/security/2002/dsa-181 Mandrake Security Advisory MDKSA-2002:072 http://www.mandrakesecure.net/en/advisories/2002/MDKSA-2002-072.php Bugtraq ID: 6029 http://online.securityfocus.com/bid/6029 |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2003-10-28 |