Apache HTTP Server多个模块主机名和URI跨站脚本漏洞
Apache HTTP Server多个模块主机名和URI跨站脚本漏洞
发布日期:2013-02-26
更新日期:2013-02-28
受影响系统:
Apache Group HTTP Server 2.4.x
Apache Group HTTP Server 2.2.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 58165
CVE(CAN) ID: CVE-2012-3499
Apache HTTP Server是开源HTTP服务器。
Apache HTTP Server 2.4.4及之前版本在实现上存在多个XSS漏洞,通过模块(1) mod_imagemap, (2) mod_info, (3) mod_ldap, (4) mod_proxy_ftp, (5) mod_status内的主机名和URI,远程攻击者可利用此漏洞注入任意js脚本和HTML。
<*来源:Jim Jagielski
Stefan Fritsch
Niels Heinen
链接:http://secunia.com/advisories/52394/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://httpd.apache.org/
评论暂时关闭