安全研究
安全漏洞
安全漏洞
所有系统
AIX
BSD(eg,OpenBSD)
Digital Unix
HP-UX
IRIX
Linux
FreeBSD
SCO UNIX
SunOS
Solaris
Windows
所有类型
远程进入系统
本地越权访问
拒绝服务攻击
嵌入恶意代码
Web数据接口
其他类型
Apache Apache::Status和Apache2::Status模块跨站脚本漏洞
发布日期:
2009-04-01
更新日期:
2009-04-07
受影响系统:
Apache Group Apache 2.x
Apache Group Apache 1.x
描述:
BUGTRAQ ID:
34383
CVE(CAN) ID:
CVE-2009-0796
Apache HTTP Server是一款流行的Web服务器。
Apache没有正确地验证对Apache::Status和Apache2::Status模块所传送的输入便返回给了用户,远程攻击者可以通过向上述模块提交恶意请求执行跨站脚本攻击,导致在用户浏览器会话中执行任意HTML和脚本代码。
<*来源:Richard H. Brain
链接:
3Cad28918e0904011458h273a71d4x408f1ed286c9dfbc@mail.gmail.com
%3E" target="_blank">http://mail-archives.apache.org/mod_mbox/perl-advocacy/200904.mbox/%
3Cad28918e0904011458h273a71d4x408f1ed286c9dfbc@mail.gmail.com
%3E
http://secunia.com/advisories/34597/
http://sunsolve.sun.com/search/document.do?assetkey=1-66-274110-1
*>
建议:
临时解决方法:
* 在httpd.conf文件中禁止某些客户端访问状态url,如/perl-status。
mod_perl1示例:
<Location /perl-status>
Order deny,allow
Deny from all
Allow from 127.0.0.1
SetHandler perl-script
PerlHandler Apache::Status
</Location>
mod_perl2示例:
<Location /perl-status>
Order deny,allow
Deny from all
Allow from 127.0.0.1
SetHandler perl-script
PerlResponseHandler Apache2::Status
</Location>
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.apache.org
Sun
---
Sun已经为此发布了一个安全公告(Sun-Alert-6840453)以及相应补丁:
Sun-Alert-6840453:Security Vulnerability in the Apache 1.3 "mod_perl" Module Component "Status.pm" May Lead to Unauthorized Access to Data
链接:
http://sunsolve.sun.com/search/document.do?assetkey=1-66-274110-1
浏览次数:
5165
严重程度:
0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障
关于我们
公司介绍
公司荣誉
公司新闻
联系我们
公司总部
分支机构
海外机构
快速链接
绿盟云
绿盟威胁情报中心NTI
技术博客
