blob: a56c94a3c4e8eec8c4cea45c1ac952d534fe4171 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
|
#use wml::debian::translation-check translation="6ab4efd6aef9d515c9ab56323e046eae02181c82" maintainer="Lev Lamberov"
<define-tag description>межсайтовый скриптинг</define-tag>
<define-tag moreinfo>
<p>Джо Ортон обнаружил межсайтовый скриптинг в mod_ssl, модуле
Apache, добавляющем веб-серверу стойкое шифрование (то есть,
поддержку HTTPS). Этот модуль возвращает имя сервера в неэкранированном виде
в ответе на HTTP-запрос по порту SSL.</p>
<p>Подобно другим недавним XSS-ошибкам Apache эта касается только тех серверов,
на которых одновременно используется "UseCanonicalName off" (по умолчанию в пакете
Debian) и шаблон DNS. Хотя это крайне маловероятно.
Apache 2.0/mod_ssl не уязвим, поскольку в нём этот код HTML
экранирруется.</p>
<p>Если включена указанная настройка, то когда Apache требуется создать
указывающий на себя URL (URL, который указывает на сервер, от
которого отправлен запрос), то он использует ServerName и Port для
формирования "канонического" имени. При отключении этой настройки Apache использует
по возможности hostname:port, переданные клиентом. Это также
касается SERVER_NAME и SERVER_PORT в CGI-сценариях.</p>
<p>Эта проблема была исправлена в версии 2.8.9-2.1 для текущего
стабильного выпуска (woody), в версии 2.4.10-1.3.9-1potato4 для
предыдущего стабильного выпуска (potato) и в версии 2.8.9-2.3 для
нестабильного выпуска (sid).</p>
<p>Рекомендуется обновить пакет libapache-mod-ssl.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-181.data"
# $Id$
|
