Cross site scripting a través de mod_negotiation en Apache 1.x y 2.x


Se ha encontrado un fallo de seguridad en Apache que podría permitir a un atacante provocar un problema de cross site scripting.





El fallo se da en el módulo mod_negotiation, que no filtra correctamente código HTML de nombres antes de mostrar la entrada como parte de un mensaje HTTP 406 (Not Accesptable) o como parte del mensaje HTTP 300 (Multiple Choices). Si un atacante pudiese controlar un nombre de fichero en el sistema Apache, y el visitante visitara una URL especialmente manipulada que apuntara a él, se podría ejecutar código HTML y Script en el navegador del usuario en el contexto de la página afectada.

No existe parche oficial. Se recomienda deshabilitar el módulo implicado si no se utiliza o deshabilitar el tipo de respuesta implicado.

Más Información:

Apache mod_negotiation Input Validation Hole Permits Cross-Site Scripting Attacks
http://www.securitytracker.com/alerts/2008/Jan/1019256.html

Fuente:
Laboratorio Hispasec
http://www.hispasec.com



Otras noticias de interés:

Un adolescente se hace con eBay
Un alemán de 19 años se ha confesado culpable del secuestro del dominio ebay.de, perteneciente a la más famosa casa de subastas por Internet. La policía alemana lo ha arrestado acusándolo de tomar el control ilegal del dominio desde finales de a...
Jaqueado el lector de huellas dactilares de Microsoft
Conéctate con tu dedo. Di adiós a las contraseñas. Así dice -aún- la página sobre Microsoft Fingerprint Reader, el lector de huellas dactilares de Microsoft que acaba de ser jaqueado por Mikko Kiviharju, un investigador que trabaja para el ej...
Hackeado Google Pack
Poco despues de la aparición de Google Pack, ya algunos hackers han publicado los binarios correspondientes a Google Screensaver que nos permite bajárnoslo e instalarlos como cualquier otro salvapantallas de los que tenemos ...
Adobe parchea a medias su vulnerabilidad casi un mes después, mientras Foxit Reader lo soluciona en 10 días
La ShadowServer Fundation advirtió el día 19 de febrero de una potencial vulnerabilidad en Adobe Acrobat Reader que podría permitir a un atacante ejecutar código arbitrario. Al descubrirse el problema mientras estaba siendo aprovechado activament...
Aún resta lo peor del gusano SoBig
Las empresas y demás usuarios de computadora aún no han visto lo peor del gusano informático SoBig, según una empresa de seguridad de correo electrónico. Mark Sunner, oficial jefe de tecnología de MessageLabs, dijo que normalmente los virus, gu...
NUEVO FALLO EN MOZILLA Y NETSCAPE
Mozilla y Netscape 6.1 tienen una vulnerabilidad que permite a un atacante remoto acceder, en modalidad de lectura, a los archivos presentes en el disco duro del usuario. Se trata de un problema que recuerda, en gran medida, a uno descubierto meses a...
RedHat promueve que no se permita patentes de software
Leemos en muylinux.com una nota referente a la postura de RedHat ante el uso de patentes de software....
Ciberguerra es una exageración que podría militarizar Internet
Las amenazas de una guerra cibernética se exageran enormemente, según le dijo a la BBC un destacado experto en temas de seguridad....
EE.UU. vota NO al OOXML
Sorprendentemente el voto de los Estados Unidos para la estandarización ISO del formato abierto de Microsoft ha sido un no como una casa. El debate y la polémica sobre la aceptación de este estándar de documentos ofimáticos se ha reabierto una v...
¿Qué es una distribución de Linux?
Eres un principiante y quieres probar esto de 'Linux' (aunque el nombre más correcto sería GNU/Linux, pero no nos vamos a poner pedantes ya tan pronto); seguramente te hayan recomendado que busques una distribución. Ajá, ya sabes qué tienes qu...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • cross
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mod_negotiation
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • scripting
  • seguridad
  • site
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • traves
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra