blob: db40b4dbc287707506937dc76b1cbc865c62ad46 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
|
#use wml::debian::translation-check translation="6ab4efd6aef9d515c9ab56323e046eae02181c82"
<define-tag description>cross site scripting</define-tag>
<define-tag moreinfo>
<p>Joe Orton descobriu um problema de cross site scripting no mod_ssl, um
módulo do apache que adiciona criptografia forte (i.e suporte a HTTPS)
para o servidor. O módulo retornará o nome do servidor sem sequência de
escape em resposta a uma requisição HTTP na porta SSL.</p>
<p>Como em outros bugs XSS recentes do Apache, isso somente afeta servidores
usando uma combinação de "UseCanonicalName off" (padrão no pacote Debian
do Apache) e coringas de DNS, embora seja muito improvável de acontecer. O
Apache 2.0/mod_ssl não é vulnerável pois já possui sequência de escape.</p>
<p>Com esta configuração habilitada, se o apache precisar, para construir uma
URL de Auto-Referência (uma URL que entrega a resposta que está chegando
de volta para o servidor), ele usará o Nome do Servidor e Porta formando
um nome "Canônico". Com essa configuração desligada, o Apache usará,
quando possível o nome_do_host:porta que o cliente fornecer. Isso também
afeta SERVER_NAME e SERVER_PORT nos scripts CGI.</p>
<p>Esse problema foi corrigido na versão 2.8.9-2.1 para a atual distribuição
estável (woody), na versão 2.4.10-1.3.9-1potato4 para a antiga distribuição (potato) e na versão 2.8.9-2.3 para a distribuição instável
(sid).</p>
<p>Nós recomendamos que você atualize seu pacote libapache-mod-ssl.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-181.data"
|
