1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
|
<define-tag description>Site-übergreifendes Skripting</define-tag>
<define-tag moreinfo>
<p>Joe Orton entdeckte ein Site-übergreifendes Skripting-Problem in mod_ssl,
einem Apache-Modul, das dem Web-Server starke Kryptographie (d.h.
HTTPS-Unterstützung) hinzufügt. Das Modul liefert den Server-Namen als
Antwort auf eine HTTP-Anfrage auf einem SSL-Port unbearbeitet zurück.</p>
<p>Wie auch die anderen kürzlichen Apache-XSS Fehler betrifft dies nur Server,
die eine Kombination von "UseCanonicalName off" (Voreinstellung im
Apache-Paket von Debian) und Wildcard-DNS verwenden. Es ist jedoch sehr
unwahrscheinlich, dass es passiert. Apache 2.0/mod_ssl ist nicht verwundbar,
da es dieses HTML bereits bearbeitet.</p>
<p>Wenn diese Einstellungen aktiviert sind und Apache eine
selbst-referenzierende URL erstellen muss (eine URL, die auf den Server zurück
verweist, von dem die Antwort kommt), wird er ServerName und Port dazu
verwenden, um einen "kanonischen" Namen zu erstellen. Falls diese Einstellung
abgedreht ist, wird Apache die Hostnamen:Port Kombination verwenden, die der
Client bereitstellt, falls möglich. Dies betrifft ebenfalls SERVER_NAME und
SERVER_PORT in CGI-Skripten.</p>
<p>Dieses Problem wurde in Version 2.8.9-2.1 für die aktuelle stable
Distribution (Woody), in Version 2.4.10-1.3.9-1potato4 für die alte stable
Distribution (Potato) und in Version 2.8.9-2.3 für die unstable Distribution
(Sid) behoben.</p>
<p>Wir empfehlen Ihnen, Ihr libapache-mod-ssl Paket zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-181.data"
#use wml::debian::translation-check translation="6ab4efd6aef9d515c9ab56323e046eae02181c82"
# $Id$
|
