Boletines de Vulnerabilidades |
Vulnerabilidad de Cross Site Scripting en Apache. |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Confidencialidad |
Dificultad | Experto |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado | Apache 1.3.x - 1.3.26, 2.0.x - 2.0.42 |
Descripción |
|
Apache es vulnerable a ataques de cross site scripting. Esta vulnerabilidad es debida a que las páginas de error SSI del servidor web no se encuentran adecuadamente esterilizadas de código HTML malicioso. Aprovechando esta vulnerabilidad un atacante puede inyectar código script y HTML en un cliente web al visitar un link malicioso en el contexto del servidor web. Los ataques de esta naturaleza pueden hacer posible que los atacantes puedan manipular el contenido web para robar credenciales de autenticación en cookies. Puede ser posible también la ejecución de cualquier acción como usuario víctima. |
|
Solución |
|
Actualización de software Apache 1.3 Apache Software Foundation Upgrade apache_1.3.27.tar.gz http://www.apache.org/dist/httpd/apache_1.3.27.tar.gz Apache 2.0.x Apache Software Foundation Upgrade httpd-2.0.43.tar.gz http://www.apache.org/dist/httpd/httpd-2.0.43.tar.gz |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CAN-2002-0840 |
BID | |
Recursos adicionales |
|
Securityfocus BID: 5847 http://online.securityfocus.com/bid/5847 BUGTRAQ:20021002 Apache 2 Cross-Site Scripting http://marc.theaimsgroup.com/?l=bugtraq&m=103357160425708&w=2 VULNWATCH:20021002 Apache 2 Cross-Site Scripting http://archives.neohapsis.com/archives/vulnwatch/2002-q4/0003 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2002-10-04 |