有谁知道如何在不升级 Web 服务器的情况下修复Apache 2.2.4中的这个漏洞?
这是我在SecurityReason的网上找到的。他们建议的修复方法是将其升级到版本 2.2.6。但是服务器是实时的,升级 t 是最后的手段。
Apache2 XSS 未定义字符集 UTF-7 XSS 漏洞
XSS(UTF7) 存在于mod_autoindex.c中 。Charset 未定义,我们可以通过将 Charset 设置为 UTF-7 来使用 apache 2.2.4 中可用的“P”选项提供 XSS 攻击。
"P=pattern 仅列出与给定模式匹配的文件"
请为此提出解决方案。
好吧,首先它只会在您使用mod_autoindex时影响您。如果你不是,那么你现在可以停止阅读,因为你正在运行的代码没有漏洞(尽管理想情况下,在你更新服务器之前不要开始使用这个模块)。
否则,攻击者似乎可以利用字符集未明确设置的事实将他们自己的脚本嵌入到给定特制 URL 的页面中。该 URL 将使用“P”参数来指定自动索引的过滤器;可以理解的是,没有给出一个示例漏洞,但推测某些巧妙的文本操作将允许攻击者将他们自己的 Javascript 插入返回的页面。
因此,这是一种标准的XSS 攻击(如果您不熟悉其后果,请阅读链接)。
如果您受到影响,我强烈建议您进行升级,以获得完全的安全性。用户应该理解将网站关闭一段时间以进行安全升级,这比遭受攻击要好得多。但是,与此同时,一种解决方法是从传入请求中删除任何 P 参数(假设您站点上的其他页面都没有接受这样的参数,并且没有其他页面依赖于将过滤器传递给自动索引页面),甚至只是禁用完全自动索引模块。
我最终更新到 Apache 2.2.11!
然而,dtsazza的回答是正确的,但我的 VA 测试团队不会买它。:)