免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 8820 | 回复: 3

[Web] 求助:关于 Apache HTTP Server畸形HTTP方式413错误页面跨站脚本漏洞 [复制链接]

论坛徽章:
0
发表于 2009-05-15 18:09 |显示全部楼层
今天有用户反映用绿盟科技“极光远程安全评估系统”安全评估系统扫描我们的业务服务器,说有系统漏洞
Apache HTTP Server畸形HTTP方式413错误页面跨站脚本漏洞  

让我们提供解决方案

我就日了,我们服务器上的webserver是tomcat5,而且就运行了一个静态网页,没办法根据apache的修改配置方法修改阿?

请问应该怎么修改?



具体漏洞描述如下:
Apache HTTP Server畸形HTTP方式413错误页面跨站脚本漏洞
漏洞描述        Apache HTTP Server是一款流行的Web服务器。

Apache HTTP Server处理畸形用户请求时存在漏洞,远程攻击者可能利用此漏洞获取脚本源码。

如果远程用户提交的畸形HTTP请求承载有以下形式之一负载(如JavaScript)和无效长度数据的话,就会导致Apache HTTP服务器返回客户端所提供的脚本代码:

两个Content-length头等于0,如Content-Length: 0[LF]Content-Length: 0
一个Content-length头等于两个值,如Content-length: 0, 0
一个Content-length:头等于负数,如Content-length: -1
一个Content-length头等于很大的值,如Content-length: 9999999999999999999999999999999999999999999999。

提交了无效长度数据后Apache就会返回413 Request Entity Too Large错误,导致在用户浏览器会话中执行任意HTML和脚本代码。
解决方案        临时解决方法:

* 向Apache配置文件添加ErrorDocument 413语句禁用默认的413错误页面。

厂商补丁:

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://httpd.apache.org/download.cgi
补丁信息        http://httpd.apache.org/download.cgi
威胁分值        7
NSFOCUS        11228
CVE编号        CVE-2007-6203
BUGTRAQ        26663

论坛徽章:
0
发表于 2009-05-18 12:13 |显示全部楼层
up下

论坛徽章:
5
2015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-04 09:53:172015亚冠之水原三星
日期:2015-06-02 16:34:202015年亚冠纪念徽章
日期:2015-10-19 18:13:37程序设计版块每日发帖之星
日期:2015-11-08 06:20:00
发表于 2009-05-18 12:16 |显示全部楼层

论坛徽章:
0
发表于 2016-01-26 17:58 |显示全部楼层
作者,请问下这个漏洞最后就是:向Apache配置文件添加ErrorDocument 413语句禁用默认的413错误页面 并打了补丁就解决了么,会影响什么不,我是小白。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP