• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Межсайтовое выполнение сценариев

Главная Специалистам База уязвимостей Межсайтовое выполнение сценариев

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
Apache HTTP Server (1.3.0, 1.3.35, 2.0.0, 2.0.58, 2.2.0, 2.2.2)
Описание
http_protocol.c в IBM HTTP Server и Apache HTTP Server не очищает заголовок Expect header из HTTP-запроса, когда отправляет его обратно в сообщении об ошибке, что может позволить провести атаку типа межсайтового выполнения сценариев, используя компоненты веб-клиента, которые могут отправлять произвольные заголовки в запросах, например, используя Flash SWF-файл.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.apache.org/
Ссылки
BUGTRAQ (20060508 Unfiltered Header Injection in Apache 1.3.34/2.0.57/2.2.1): http://archives.neohapsis.com/archives/bugtraq/2006-05/0151.html
BUGTRAQ (20060724 Write-up by Amit Klein:): http://archives.neohapsis.com/archives/bugtraq/2006-07/0425.html
http://svn.apache.org/viewvc?view=rev&revision=394965
AIXAPAR (PK24631): http://www-1.ibm.com/support/docview.wss?uid=swg1PK24631
FRSIRT (ADV-2006-2963): http://www.frsirt.com/english/advisories/2006/2963
FRSIRT (ADV-2006-2964): http://www.frsirt.com/english/advisories/2006/2964
SECTRACK (1016569): http://securitytracker.com/id?1016569
AIXAPAR (PK27875): http://www-1.ibm.com/support/docview.wss?uid=swg24013080
REDHAT (RHSA-2006:0618): http://rhn.redhat.com/errata/RHSA-2006-0618.html
REDHAT (RHSA-2006:0619): http://www.redhat.com/support/errata/RHSA-2006-0619.html
FRSIRT (ADV-2006-3264): http://www.frsirt.com/english/advisories/2006/3264
DEBIAN (DSA-1167): http://www.debian.org/security/2006/dsa-1167
SGI (20060801-01-P): ftp://patches.sgi.com/support/free/security/advisories/20060801-01-P
SUSE (SuSE-SA:2006:051): http://lists.suse.com/archive/suse-security-announce/2006-Sep/0004.html
SUSE (SUSE-SA:2006:051): http://www.novell.com/linux/security/advisories/2006_51_apache.html
http://support.avaya.com/elmodocs2/security/ASA-2006-194.htm
REDHAT (RHSA-2006:0692): http://rhn.redhat.com/errata/RHSA-2006-0692.html
OPENBSD ([3.9] 012: SECURITY FIX: October 7, 2006): http://openbsd.org/errata.html#httpd2
BID (19661): http://www.securityfocus.com/bid/19661
http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd?mode=18&ID=3117
FRSIRT (ADV-2006-4207): http://www.frsirt.com/english/advisories/2006/4207
http://kb.vmware.com/KanisaPlatform/Publishing/466/5915871_f.SAL_Public.html
FRSIRT (ADV-2006-5089): http://www.frsirt.com/english/advisories/2006/5089