Sicherheitslücken in Apache ermöglichen Cross-Site-Scripting

In Apache gibt es mehrere Cross-Site-Scripting-Schwachstellen, durch die unbemerkt JavaScript im Browser von Anwendern ausgeführt werden kann. So können Angreifer an sensible Daten gelangen, um z.B. Benutzerkonten zu übernehmen. Ursache der Sicherheitslücken des Webservers ist eine nur unzureichende Filterung übergebener Parameter und aufgerufener URLs. Die fehlerhaften Module finden sich in Apache 1.3.x, 2.0.x und 2.2.x. Eine Lücke in mod_status ermöglicht z. B. Redirects auf Pishing-Seiten, da sich durch Einfügen eines Semikolons eine zusätzliche URL einschleusen läßt. In den Versionen Apache 2.2.7-dev, Apache 1.3.40-dev und Apache 2.0.62-dev sind die Probleme behoben. Auch einige Linux-Distributoren wie Red Hat und Mandriva bieten bereits Modulversionen an, in denen die Fehler ausgebessert wurden.

0 Kommentar(e)

Zum Posten von Kommentaren bitte