Web サーバーをアップグレードせずにApache 2.2.4でこの脆弱性を修正する方法を知っている人はいますか?
これは、ネット上のSecurityReasonで見つけたものです。彼らが提案した修正は、バージョン 2.2.6 にアップグレードすることです。しかし、サーバーは稼動しており、アップグレードは最後の手段です。
Apache2 XSS の未定義の文字セット UTF-7 XSS の脆弱性
XSS(UTF7) はmod_autoindex.cにあり ます。文字セットは定義されておらず、文字セットを UTF-7 に設定することにより、Apache 2.2.4 で使用可能な「P」オプションを使用して XSS 攻撃を提供できます。
「P=パターンは、指定されたパターンに一致するファイルのみをリストします」
これに対する解決策を提案してください。
まず最初に、 mod_autoindexを使用している場合にのみ影響します。そうでない場合は、実行しているコードに脆弱性がないため、今すぐ読むのをやめることができます(ただし、理想的には、サーバーを更新するまでこのモジュールの使用を開始しないでください)。
そうでなければ、攻撃者は、文字セットが特別に細工されたURLを指定されたページに独自のスクリプトを埋め込むように明示的に設定されていないという事実を悪用できるようです。このURLは、自動インデックス作成用のフィルターを指定するために「P」パラメーターを使用します。エクスプロイトの例は当然のことながら与えられていませんが、おそらく特定の巧妙なテキスト操作により、攻撃者は返されたページに独自のJavascriptを挿入することができます。
したがって、これは標準のXSS攻撃です(影響に精通していない場合は、リンクを読んでください)。
影響を受ける場合は、完全なセキュリティを確保するためにアップグレードすることを強くお勧めします。セキュリティのアップグレードのためにしばらくの間Webサイトを停止することは、そのユーザーが理解する必要があり、エクスプロイトに苦しむよりもはるかに優れています。ただし、当面の回避策は、着信リクエストからPパラメータを取り除くことです(サイトの他のページがそのようなパラメータを受け入れず、他のページが自動インデックスページへのフィルタの受け渡しに依存していないことを前提としています)。自動インデックス作成mod全体。
最終的にApache 2.2.11にアップデートしました!
しかし、dtsazzaの答えは正しかったのですが、MY VA テスト チームはそれを受け入れませんでした。:)