Cross site scripting a través de mod_negotiation en Apache 1.x y 2.x

Se ha encontrado un fallo de seguridad en Apache que podría permitir a un atacante provocar un problema de cross site scripting.

El fallo se da en el módulo mod_negotiation, que no filtra correctamente código HTML de nombres antes de mostrar la entrada como parte de un  mensaje HTTP 406 (Not Accesptable) o como parte del mensaje HTTP 300 (Multiple Choices). Si un atacante pudiese controlar un nombre de fichero en el sistema Apache, y el visitante visitara una URL especialmente manipulada que apuntara a él, se podría ejecutar código HTML y Script en el navegador del usuario en el contexto de la página afectada.

No existe parche oficial. Se recomienda deshabilitar el módulo implicado si no se utiliza o deshabilitar el tipo de respuesta implicado. 

via hispasec 

Una respuesta a Cross site scripting a través de mod_negotiation en Apache 1.x y 2.x

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: