Vulnerability Bulletins |
Vulnerabilidad de Cross Site Scripting en Apache. |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Confidencialidad |
Dificulty | Experto |
Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
Property | Value |
Affected manufacturer | GNU/Linux |
Affected software | Apache 1.3.x - 1.3.26, 2.0.x - 2.0.42 |
Description |
|
Apache es vulnerable a ataques de cross site scripting. Esta vulnerabilidad es debida a que las páginas de error SSI del servidor web no se encuentran adecuadamente esterilizadas de código HTML malicioso. Aprovechando esta vulnerabilidad un atacante puede inyectar código script y HTML en un cliente web al visitar un link malicioso en el contexto del servidor web. Los ataques de esta naturaleza pueden hacer posible que los atacantes puedan manipular el contenido web para robar credenciales de autenticación en cookies. Puede ser posible también la ejecución de cualquier acción como usuario víctima. |
|
Solution |
|
Actualización de software Apache 1.3 Apache Software Foundation Upgrade apache_1.3.27.tar.gz http://www.apache.org/dist/httpd/apache_1.3.27.tar.gz Apache 2.0.x Apache Software Foundation Upgrade httpd-2.0.43.tar.gz http://www.apache.org/dist/httpd/httpd-2.0.43.tar.gz |
|
Standar resources |
|
Property | Value |
CVE | CAN-2002-0840 |
BID | |
Other resources |
|
Securityfocus BID: 5847 http://online.securityfocus.com/bid/5847 BUGTRAQ:20021002 Apache 2 Cross-Site Scripting http://marc.theaimsgroup.com/?l=bugtraq&m=103357160425708&w=2 VULNWATCH:20021002 Apache 2 Cross-Site Scripting http://archives.neohapsis.com/archives/vulnwatch/2002-q4/0003 |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2002-10-04 |