blob: 96df0a1be59ab5ad9849159f61f650fdb09d4040 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
|
#use wml::debian::translation-check translation="6ab4efd6aef9d515c9ab56323e046eae02181c82" mindelta="1"
<define-tag description>serveröverskridande skriptproblem</define-tag>
<define-tag moreinfo>
<p>
Joe Orton upptäckte ett serveröverskridande skriptproblem i mod_ssl, en
Apachemodul som lägger till stark kryptografi (dvs. HTTP-stöd) till
webbservern. Modulen returnerar servernamnet utan specialsekvenser som svar
till HTTP-förfrågningar på SSL-porten.
</p>
<p>
Precis som andra serveröverskridande skriptproblem (XSS) i Apache nyligen
påverkar detta endast servrar som använder en kombination av
”UseCanonicalName off” (förval i Debians Apachepaket) och
jokertecken i DNS.
Det är dock inte så troligt att det inträffar.
Apache 2.0/mod_ssl är inte sårbart eftersom det redan ersätter
specialsekvenser i denna HTML.
</p>
<p>
Med denna inställning aktiverad använder Apache, då det behöver konstruera
en självrefererande URL (en URL som pekar tillbaka på servern svaret kommer
från), servernamn och port för att skapa ett ”kanoniskt” namn.
Med denna inställning inaktiverad kommer Apache använda värdnamn:port som
klienten medsände, när detta är möjligt.
Detta påverkar även SERVER_NAME och SERVER_PORT i CGI-skript.
</p>
<p>
Detta problem har rättats i version 2.8.9-2.1 för den nuvarande stabila
utgåvan (Woody), i version 2.4.10-1.3.9-1potato4 för den gamla stabila
utgåvan (Potato) samt version 2.8.9-2.3 för den instabila utgåvan (Sid).
</p>
<p>Vi rekommenderar att ni uppgraderar ert libapache-mod-ssl-paket.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-181.data"
|