Cross-Site-Scripting-Lücken in mehreren Apache-Modulen
Ursache der Probleme ist die ungenügende Filterung übergebener Parameter respektive aufgerufener URLs. Betroffen sind Apache 1.3.x, 2.0.x und 2.2.x.
Mehrere Module für den Webserver Apache weisen Cross-Site-Scripting-Schwachstellen auf, durch die ein Angreifer JavaScript im Browser eines Opfers ausführen kann. Ursache der Probleme ist die ungenügende Filterung übergebener Parameter respektive aufgerufener URLs. Betroffen sind Apache 1.3.x, 2.0.x und 2.2.x. Zu den fehlerhaften Modulen gehören mod_status, mod_proxy_ftp, mod_proxy_balancer, mod_autoindex (nur Apache 1.3.x) und mod_imagemap. So lässt sich beispielsweise bei mod_status durch Einfügen eines Semikolons eine zusätzliche URL einschleusen. Prinzipiell ließe sich dieser Fehler auch für Redirects auf Phishing-Seiten ausnutzen.
Die Schwachstellen sind in den Versionen Apache 2.2.7-dev, Apache 1.3.40-dev und Apache 2.0.62-dev beseitigt. Linux-Distributoren wie Red Hat und Mandriva haben bereits fehlerbereinigte Versionen der Module veröffentlicht.
Siehe dazu auch:
- Apache2 CSRF, XSS, Memory Corruption and Denial of Service Vulnerability, Fehlerbericht von SecurityReason
- Apache (mod_proxy_ftp) Undefined Charset UTF-7 XSS Vulnerability, Fehlerbericht von SecurityReason
- Apache (mod_status) Refresh Header - Open Redirector (XSS), Fehlerbericht von SecurityReason
- httpd security update, Fehlerbericht von Red Hat
- Updated apache 2.2.x packages fix multiple vulnerabilities, Fehlerbericht von Mandriva
(dab)
