Mod_SSL Wildcard DNS跨站脚本执行漏洞-一一网

漏洞信息详情

Mod_SSL Wildcard DNS跨站脚本执行漏洞

CNNVD编号：CNNVD-200211-004

危害等级：高危
CVE编号：
CVE-2002-1157
漏洞类型：

输入验证
发布时间：

2002-10-22
威胁类型：

远程
更新时间：

2005-05-13
厂商：

mod_ssl
漏洞来源：
Joe Orton.

漏洞简介

Mod_SSL是Apache服务器上的SSL实现，用来为Apache Web服务器提供加密支持。
Apache使用mod_ssl模块时会返回没有过滤的服务器名，远程攻击者可以利用这个漏洞构建恶意WEB页，诱使用户点击，进行跨站脚本执行攻击。
当服务器使用\”UseCanonicalName off\”(默认情况下不是默认设置)和统配DNS结合的配置时，就可以导致这个跨站脚本执行攻击漏洞。如果这个设置为off的情况下，Apache就会使用Hostname：port应答HTTP请求，不过在返回的时候没有对hostname数据进行正确的过滤。如果这个设置为on的情况下，Apache就构建自引用URL和使用ServerName：port形式进行应答。
攻击者可以通过构建包含主机名为任意HTML和脚本代码的链接，诱使目标用户点击链接，就可以导致攻击者提供的脚本代码在客户端浏览器上执行，可窃取基于Cookie认证的信息，也可能获得本地文件内容。

漏洞公告

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 暂时关闭浏览器的javascript功能。
厂商补丁：
Debian
——
Debian已经为此发布了一个安全公告(DSA-181-1)以及相应补丁:

DSA-181-1：New mod_ssl packages fix cross site scripting

链接：http://www.debian.org/security/2002/dsa-181” target=”_blank”>
http://www.debian.org/security/2002/dsa-181

补丁下载：

Source archives:

http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4.dsc” target=”_blank”>
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4.dsc

Size/MD5 checksum: 705 db7c60ce194c218b07b79968585a3065

http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4.diff.gz” target=”_blank”>
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4.diff.gz

Size/MD5 checksum: 20194 4c9fd112ca2a50ccbb21f76917012b88

http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9.orig.tar.gz” target=”_blank”>
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9.orig.tar.gz

Size/MD5 checksum: 695247 cb0f2e07065438396f0d5df403dd2c16

Architecture independent components:

http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl-doc_2.4.10-1.3.9-1potato4_all.deb” target=”_blank”>
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl-doc_2.4.10-1.3.9-1potato4_all.deb

Size/MD5 checksum: 278090 12bc6e09fb5ec76f4b37ed5c295470eb

Alpha architecture:

http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_alpha.deb” target=”_blank”>
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_alpha.deb

Size/MD5 checksum: 211734 c4d690aed7c335ceeb204dd913e36a39

ARM architecture:

http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_arm.deb” target=”_blank”>
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_arm.deb

Size/MD5 checksum: 203106 5847b3d90d092dfa6e806a6d9ee8fe90

Intel IA-32 architecture:

http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_i386.deb” target=”_blank”>
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_i386.deb

Size/MD5 checksum: 199266 6c89113c7cf5d0e82c436fe967c7b2f3

Motorola 680×0 architecture:

http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_m68k.deb” target=”_blank”>
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_m68k.deb

Size/MD5 checksum: 203612 0631d1e03e921c5a10ff2f4f6e0093f8

PowerPC architecture:

http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_powerpc.deb” target=”_blank”>
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_powerpc.deb

Size/MD5 checksum: 201282 98666b5d76aa20e5a5e1b5ee331a9b71

Sun Sparc architecture:

http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_sparc.deb” target=”_blank”>
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.4.10-1.3.9-1potato4_sparc.deb

Size/MD5 checksum: 202150 9f9df58c9cf85683d65ddd92f2c8551e

Debian GNU/Linux 3.0 alias woody

——————————–

Source archives:

http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1.dsc” target=”_blank”>
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1.dsc

Size/MD5 checksum: 678 8326399384a276295ed312f3314f8b2a

http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1.diff.gz” target=”_blank”>
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1.diff.gz

Size/MD5 checksum: 21672 3c6e87aad1113d19c04e2824e7fc6345

http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9.orig.tar.gz” target=”_blank”>
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9.orig.tar.gz

Size/MD5 checksum: 752613 aad438a4eaeeee29ae74483f7afe9db0

Architecture independent components:

http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl-doc_2.8.9-2.1_all.deb” target=”_blank”>
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl-doc_2.8.9-2.1_all.deb

Size/MD5 checksum: 287898 7c5f6a20d23ec97bd7d0f8ec5bd14172

Alpha architecture:

http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_alpha.deb” target=”_blank”>
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_alpha.deb

Size/MD5 checksum: 247800 0e6312d4ce0a5acd4f0291aff658f8ee

ARM architecture:

http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_arm.deb” target=”_blank”>
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_arm.deb

Size/MD5 checksum: 240094 9bf9083652950cc47033d4774de9737f

Intel IA-32 architecture:

http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_i386.deb” target=”_blank”>
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_i386.deb

Size/MD5 checksum: 238156 9756a3701103f8779c65455c968898c3

Intel IA-64 architecture:

http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_ia64.deb” target=”_blank”>
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_ia64.deb

Size/MD5 checksum: 268682 b00a8b74ecda50dea58ab8ab199f8f33

HP Precision architecture:

http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_hppa.deb” target=”_blank”>
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_hppa.deb

Size/MD5 checksum: 248092 102048ee2fa63c33d8076fc3a44b8305

Motorola 680×0 architecture:

http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_m68k.deb” target=”_blank”>
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_m68k.deb

Size/MD5 checksum: 240990 4a8853fadd213fca4057dee5897f3225

Big endian MIPS architecture:

http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_mips.deb” target=”_blank”>
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_mips.deb

Size/MD5 checksum: 236080 53a779235110dff18ecaf8806ac8b3f8

Little endian MIPS architecture:

http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_mipsel.deb” target=”_blank”>
http://security.debian.org/pool/updates/main/liba/libapache-mod-ssl/libapache-mod-ssl_2.8.9-2.1_mipsel.deb

Size/MD5 checksum: 236018 3e1ed4ecc89de7cd2acdf21138ddf8ed

PowerPC architecture:

http://security.debian.org/pool/updates/ma

参考网址

来源: DEBIAN
名称: DSA-181
链接:http://www.debian.org/security/2002/dsa-181

来源: XF
名称: apache-modssl-host-xss(10457)
链接:http://www.iss.net/security_center/static/10457.php

来源: BID
名称: 6029
链接:http://www.securityfocus.com/bid/6029

来源: REDHAT
名称: RHSA-2003:106
链接:http://www.redhat.com/support/errata/RHSA-2003-106.html

来源: REDHAT
名称: RHSA-2002:251
链接:http://www.redhat.com/support/errata/RHSA-2002-251.html

来源: REDHAT
名称: RHSA-2002:248
链接:http://www.redhat.com/support/errata/RHSA-2002-248.html

来源: REDHAT
名称: RHSA-2002:244
链接:http://www.redhat.com/support/errata/RHSA-2002-244.html

来源: REDHAT
名称: RHSA-2002:243
链接:http://www.redhat.com/support/errata/RHSA-2002-243.html

来源: REDHAT
名称: RHSA-2002:222
链接:http://www.redhat.com/support/errata/RHSA-2002-222.html

来源: OSVDB
名称: 2107
链接:http://www.osvdb.org/2107

来源: ENGARDE
名称: ESA-20021029-027
链接:http://www.linuxsecurity.com/advisories/other_advisory-2512.html

来源: MANDRAKE
名称: MDKSA-2002:072
链接:http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-072.php

来源: BUGTRAQ
名称: 20021023 [OpenPKG-SA-2002.010] OpenPKG Security Advisory (apache)
链接:http://online.securityfocus.com/archive/1/296753

来源: CONECTIVA
名称: CLA-2002:541
链接:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000541

来源: BUGTRAQ
名称: 20021026 GLSA: mod_ssl
链接:http://archives.neohapsis.com/archives/bugtraq/2002-10/0374.html

更多>>

文章版权归作者所有，未经允许请勿转载。

THE END

信息安全

音视频、AI和5G等技术在东京奥运会中的应用

Drupal email2image模块安全漏洞

如何基于 OpenKruise 打破原生 Kubernetes 中的容器运行时操作局限？

Java语言自定义异常

NIO详解

redis 发布订阅性能测试

Mod_SSL Wildcard DNS跨站脚本执行漏洞

漏洞信息详情

Mod_SSL Wildcard DNS跨站脚本执行漏洞

漏洞简介

漏洞公告

参考网址

受影响实体

音视频、AI和5G等技术在东京奥运会中的应用

Drupal email2image模块安全漏洞

如何基于 OpenKruise 打破原生 Kubernetes 中的容器运行时操作局限？

Java语言自定义异常

NIO详解

redis 发布订阅 性能测试

Mod_SSL Wildcard DNS跨站脚本执行漏洞

漏洞信息详情

Mod_SSL Wildcard DNS跨站脚本执行漏洞

漏洞简介

漏洞公告

参考网址

受影响实体

redis 发布订阅性能测试