LINUX.ORG.RU

Уязвимость XSS в mod_proxy_ftp вебсервера Apache

 , ,


0

0

Недостаточная проверка URL при использовании UTF-7 позволяет загружать произвольный код в браузер пользователя. Уязвимости подвержен mod_proxy_ftp во всех ветках вебсервера Apache. Решением проблемы является обновление до последней версии.

>>> Подробности

этим кто-то пользуется?

Somewho ★★
()

> загружать произвольный код в браузер пользователя

А при чём тут апач? Если браузер позволяет засунуть в себя произвольный код, это проблема браузера.

INFOMAN ★★★★★
()
Ответ на: комментарий от INFOMAN

>А при чём тут апач? Если браузер позволяет засунуть в себя произвольный код, это проблема браузера.

Ты подсовываешь ссылку юзеру, он по ней идет, и получает javascript, который тырит куки. Это не очень хорошо.

generatorglukoff ★★
() автор топика
Ответ на: комментарий от INFOMAN

>> загружать произвольный код в браузер пользователя

> А при чём тут апач? Если браузер позволяет засунуть в себя произвольный код, это проблема браузера.

Произвольный javascript код.

vimmer
()
Ответ на: комментарий от INFOMAN

Я конечно понимаю, что ходить по ссылкам на лоре не модно, но если уж новость говно, то можно же сделать исключение и узнать, что фишка в том, что ссылка может быть где угодно, а проихвольный скрипт на стороне клиента исполняется в контексте уязвимого апачёвого хоста, а также имеет доступ к его кукизам, например. Так что это забота сервера — не допускать подобной лажи.

anonymous
()

>при использовании UTF-7

Им пользуются?

/капча troorie

anonymous
()

срочно обновляю utf-7 на utf-8!!!

OzOx
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.