- 论坛徽章:
- 0
|
今天有用户反映用绿盟科技“极光远程安全评估系统”安全评估系统扫描我们的业务服务器,说有系统漏洞
Apache HTTP Server畸形HTTP方式413错误页面跨站脚本漏洞
让我们提供解决方案
我就日了,我们服务器上的webserver是tomcat5,而且就运行了一个静态网页,没办法根据apache的修改配置方法修改阿?
请问应该怎么修改?
具体漏洞描述如下:
Apache HTTP Server畸形HTTP方式413错误页面跨站脚本漏洞
漏洞描述 Apache HTTP Server是一款流行的Web服务器。
Apache HTTP Server处理畸形用户请求时存在漏洞,远程攻击者可能利用此漏洞获取脚本源码。
如果远程用户提交的畸形HTTP请求承载有以下形式之一负载(如JavaScript)和无效长度数据的话,就会导致Apache HTTP服务器返回客户端所提供的脚本代码:
两个Content-length头等于0,如Content-Length: 0[LF]Content-Length: 0
一个Content-length头等于两个值,如Content-length: 0, 0
一个Content-length:头等于负数,如Content-length: -1
一个Content-length头等于很大的值,如Content-length: 9999999999999999999999999999999999999999999999。
提交了无效长度数据后Apache就会返回413 Request Entity Too Large错误,导致在用户浏览器会话中执行任意HTML和脚本代码。
解决方案 临时解决方法:
* 向Apache配置文件添加ErrorDocument 413语句禁用默认的413错误页面。
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://httpd.apache.org/download.cgi
补丁信息 http://httpd.apache.org/download.cgi
威胁分值 7
NSFOCUS 11228
CVE编号 CVE-2007-6203
BUGTRAQ 26663 |
|