Уязвимость XSS в mod_proxy_ftp вебсервера Apache

0

0

Недостаточная проверка URL при использовании UTF-7 позволяет загружать произвольный код в браузер пользователя. Уязвимости подвержен mod_proxy_ftp во всех ветках вебсервера Apache. Решением проблемы является обновление до последней версии.

>>> Подробности

Ссылка

←

Gujin 2.4

Ход перехода на IPv6

→

этим кто-то пользуется?

Somewho ★★
(06.02.08 17:53:53 MSK)

Ссылка

> загружать произвольный код в браузер пользователя

А при чём тут апач? Если браузер позволяет засунуть в себя произвольный код, это проблема браузера.

INFOMAN ★★★★★
(06.02.08 17:54:35 MSK)

Ответ на: комментарий от INFOMAN 06.02.08 17:54:35 MSK

>А при чём тут апач? Если браузер позволяет засунуть в себя произвольный код, это проблема браузера.

Ты подсовываешь ссылку юзеру, он по ней идет, и получает javascript, который тырит куки. Это не очень хорошо.

generatorglukoff ★★
(06.02.08 18:00:52 MSK) автор топика

Ссылка

Ответ на: комментарий от INFOMAN 06.02.08 17:54:35 MSK

>> загружать произвольный код в браузер пользователя

> А при чём тут апач? Если браузер позволяет засунуть в себя произвольный код, это проблема браузера.

Произвольный javascript код.

vimmer
(06.02.08 18:02:49 MSK)

Ссылка

Ответ на: комментарий от INFOMAN 06.02.08 17:54:35 MSK

Я конечно понимаю, что ходить по ссылкам на лоре не модно, но если уж новость говно, то можно же сделать исключение и узнать, что фишка в том, что ссылка может быть где угодно, а проихвольный скрипт на стороне клиента исполняется в контексте уязвимого апачёвого хоста, а также имеет доступ к его кукизам, например. Так что это забота сервера — не допускать подобной лажи.

anonymous
(06.02.08 18:03:39 MSK)