Apache 默认错误页面跨站脚本执行漏洞(CVE-2002-0840)

漏洞描述

Apache是一款广泛使用的开放源代码WEB服务程序。

Apache的对默认错误页面的处理存在问题,攻击者可以利用此漏洞执行跨站脚本攻击。

起因是没有正确的过滤SSI错误页面的恶意HTML代码。攻击者可以利用这个漏洞在访问恶意链接的客户端执行HTML和脚本代码,导致控制Web内容或窃取基于cookie的认证凭证。

请注意仅在UseCanonicalName设置为Off且服务器运行在使用了通配符DNS的域中的情况下才可能利用这个漏洞。


解决方法
以下是各Linux/Unix发行版系统针对此漏洞发布的安全公告,可以参考对应系统的安全公告修复该漏洞:

Debian
----------------
DSA-195: DSA-195-1 apache-perl -- several vulnerabilities
链接: https://www.debian.org/security/2002/dsa-195
DSA-188: DSA-188-1 apache-ssl -- several vulnerabilities
链接: https://www.debian.org/security/2002/dsa-188
DSA-187: DSA-187-1 apache -- several vulnerabilities
链接: https://www.debian.org/security/2002/dsa-187


厂商补丁:

The Apache Software Foundation
---------
目前厂商已经发布 Apache 最新版本,请到厂商的官方页面下载最新版本:

链接:http://httpd.apache.org/download.cgi

posted @ 2019-07-10 14:37  mrhonest  阅读(1384)  评论(0)    收藏  举报