Cross site scripting a través de mod_negotiation en Apache 1.x y 2.x


Se ha encontrado un fallo de seguridad en Apache que podría permitir a un atacante provocar un problema de cross site scripting.





El fallo se da en el módulo mod_negotiation, que no filtra correctamente código HTML de nombres antes de mostrar la entrada como parte de un mensaje HTTP 406 (Not Accesptable) o como parte del mensaje HTTP 300 (Multiple Choices). Si un atacante pudiese controlar un nombre de fichero en el sistema Apache, y el visitante visitara una URL especialmente manipulada que apuntara a él, se podría ejecutar código HTML y Script en el navegador del usuario en el contexto de la página afectada.

No existe parche oficial. Se recomienda deshabilitar el módulo implicado si no se utiliza o deshabilitar el tipo de respuesta implicado.

Más Información:

Apache mod_negotiation Input Validation Hole Permits Cross-Site Scripting Attacks
http://www.securitytracker.com/alerts/2008/Jan/1019256.html

Fuente:
Laboratorio Hispasec
http://www.hispasec.com



Otras noticias de interés:

F-Secure: no usen JAVA
Un estudio de la empresa F-Secure clasificó a Java como una aplicación insegura, por lo que instó a los usuarios para que se actualicen a las versiones más recientes o bien, se deshagan de ella por completo porque no lo necesitan y su hábitos de...
Licencia GNU Affero - AGPL
La licencia pública general de Affero ( Affero General Public License, o Affero GPL o sencillamente AGPL) es una licencia copyleft derivada de la Licencia Pública General de GNU (GPL) diseñada específicamente para asegurar la cooperación en y co...
Licencia Eclipse Public License (EPL)
La Licencia Eclipse Public License (EPL) 1.0, es una licencia muy similar a la Mozilla Public License (MPL), que busca un equilibrio entre licencias permisivas y fuertes. Creada en el 2004....
Licencia MPL
La licencia pública de Mozilla (en inglés Mozilla Public License o MPL) es una licencia de software libre, de código abierto, desarrollada y mantenida por la Fundación Mozilla. Se caracteriza por ser un híbrido entre la Licencia BSD modificada y...
Licencia Common Development and Distribution (CDDL)
La licencia Common Development and Distribution License (Licencia Común de Desarrollo y Distribución) o CDDL es una licencia de código abierto (avalada por la OSI) y libre, producida por la ya inexistente Sun Microsystems (Comprada por Oracle). Es...
Curso Flash MX Básico
Un nuevo Curso Básico de FLASH MX. Programado para los días 23 y de 24 de octubre de 2004 en la ciudad de Valencia, Carabobo. Duración: 16 horas Cupos: 12 Costo: 150.000 Bs. Certificado: PH...
Carberp, el nuevo virus de Facebook
La compañía de seguridad Trusteer ha afirmado durante la jornada de hoy que el troyano Carberp, está afectando de manera activa a los usuarios de Facebook. ...
Variante de DroidKungFu para Android simula actualización
Una nueva variante del troyano para Android DroidKungFu se está haciendo pasar por una actualización de aplicación para poder infectar los terminales basados en el sistema operativo de Google....
Google soluciona vulnerabilidades de Chrome 5
El navegador del gigante de Internet se ha vuelto a actualizar en sus distintas versiones para corregir varios problemas de seguridad que podían hacer que un atacante ejecutase código de forma remota....
Cómo hacer que las computadoras entiendan Fotos
Hoy encontré navegando en youtube por el canal de TED una charla dada por Fei-Fei Li, experta en visión por computadoras (IA) explica como están enseñando a la computadora a entender las fotos. Describe las técnicas que usaron, los recursos, et...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cross
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mod_negotiation
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • scripting
  • seguridad
  • site
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • traves
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra