- 論壇徽章:
- 0
|
今天有用戶反映用綠盟科技“極光遠(yuǎn)程安全評估系統(tǒng)”安全評估系統(tǒng)掃描我們的業(yè)務(wù)服務(wù)器���,說有系統(tǒng)漏洞
Apache HTTP Server畸形HTTP方式413錯誤頁面跨站腳本漏洞
讓我們提供解決方案
我就日了���,我們服務(wù)器上的webserver是tomcat5,而且就運行了一個靜態(tài)網(wǎng)頁�,沒辦法根據(jù)apache的修改配置方法修改阿?
請問應(yīng)該怎么修改�?
具體漏洞描述如下:
Apache HTTP Server畸形HTTP方式413錯誤頁面跨站腳本漏洞
漏洞描述 Apache HTTP Server是一款流行的Web服務(wù)器。
Apache HTTP Server處理畸形用戶請求時存在漏洞�,遠(yuǎn)程攻擊者可能利用此漏洞獲取腳本源碼�����。
如果遠(yuǎn)程用戶提交的畸形HTTP請求承載有以下形式之一負(fù)載(如JavaScript)和無效長度數(shù)據(jù)的話,就會導(dǎo)致Apache HTTP服務(wù)器返回客戶端所提供的腳本代碼:
兩個Content-length頭等于0�����,如Content-Length: 0[LF]Content-Length: 0
一個Content-length頭等于兩個值,如Content-length: 0, 0
一個Content-length:頭等于負(fù)數(shù)�����,如Content-length: -1
一個Content-length頭等于很大的值��,如Content-length: 9999999999999999999999999999999999999999999999。
提交了無效長度數(shù)據(jù)后Apache就會返回413 Request Entity Too Large錯誤�����,導(dǎo)致在用戶瀏覽器會話中執(zhí)行任意HTML和腳本代碼����。
解決方案 臨時解決方法:
* 向Apache配置文件添加ErrorDocument 413語句禁用默認(rèn)的413錯誤頁面��。
廠商補�����。
Apache Group
------------
目前廠商已經(jīng)發(fā)布了升級補丁以修復(fù)這個安全問題����,請到廠商的主頁下載:
http://httpd.apache.org/download.cgi
補丁信息 http://httpd.apache.org/download.cgi
威脅分值 7
NSFOCUS 11228
CVE編號 CVE-2007-6203
BUGTRAQ 26663 |
|
免費注冊
發(fā)表于 2009-05-15 18:09
