blob: f45f91ee36efa1271476c635aed194217c393717 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
|
<define-tag description>"cross site"-udførelse af script</define-tag>
<define-tag moreinfo>
<p>Joe Orton har opdaget et problem med "cross site"-udførelse af scripts i
mod_ssl, et Apache-modul som føjer stærk kryptografering (dvs.
HTTPS-understøttelse) til webserveren. Modulet returnerer servernavnet uden
at det er indkapslet, som svar på HTTP-forespørgsler på en SSL-port.</p>
<p>Som de andre nylige Apache XSS-fejl, påvirker dette kun servere som anvender
en kombination af "UseCanonicalName off" (standard i Debians Apache-pakke) og
wildcard-DNS. Det er dog ikke sandsynligt, at det vil ske. Apache 2.0/mod_ssl
er ikke sårbar, da allerede indkapsler denne HTML-kode.</p>
<p>Med denne indstilling slået til, vil Apache hver gang det er nødt til at
fremstille en selvrefererende URL (en URL som peger tilbage til serveren som
svaret kommer fra), anvende ServerName og Port til at danne et "kanonisk" navn.
Med denne indstilling slået fra, vil Apache anvende den hostname:port som
klienten leverede, når det er muligt. Dette påvirker også SERVER_NAME og
SERVER_PORT i CGI-scripts.</p>
<p>Dette problem er rettet i version 2.8.9-2.1 i den aktuelle stabile
distribution (woody), i version 2.4.10-1.3.9-1potato4 i den gamle stabile
distribution (potato) og i version 2.8.9-2.3 i den ustabile distribution
(sid).</p>
<p>Vi anbefaler at du opgraderer din libapache-mod-ssl-pakke.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-181.data"
#use wml::debian::translation-check translation="6ab4efd6aef9d515c9ab56323e046eae02181c82"
|
