Apache2未定义字符集UTF-7 XSS漏洞

Question

有人知道如何在不升级服务器的情况下修复WebApache2.2.4中的漏洞吗？

这就是我在SecurityReason网上发现的。他们建议的修复方法是将其升级到2.2.6版本。但是服务器是实时的，升级t是最后的手段。

Apache2 XSS未定义字符集UTF-7 XSS漏洞 XSS(UTF7)存在于autoindex.c中。字符集没有定义，我们可以使用Apache2.2.4中可用的"P“选项提供XSS攻击，方法是将字符集设置为UTF-7。 "P=pattern只列出与给定模式匹配的文件“

请提出解决办法。

Answer 1

首先，只有在使用自动索引时，它才会影响到您。如果没有，那么现在就可以停止阅读，因为您正在运行的代码上没有漏洞(但理想情况下，在更新服务器之前不要开始使用该模块)。

否则，攻击者似乎可以利用字符集未显式设置的事实将自己的脚本嵌入到给定精心编制的URL的页面中。此URL将使用"P“参数来指定自动索引的筛选器；可以理解的是，未给出一个利用漏洞的示例，但可以肯定的是，对文本的巧妙操作将允许攻击者将自己的Javascript插入返回的页面。

因此，它是一个标准的XSS攻击 (如果您不熟悉这个分支，请阅读链接)。

我强烈建议您进行升级，如果您受到影响，以获得充分的安全性。为了安全升级而关闭一段时间的网站应该被用户理解，而且它比遭受攻击要好得多。但是，在此期间，解决方法是从传入的请求中删除任何P参数(假设站点上没有其他页面接受该参数，并且没有其他页面依赖于将筛选器传递到自动索引页)，甚至完全禁用自动索引模块。

Answer 2

我最后更新到Apache2.2.11！

然而，达萨扎的答案是正确的，但我的VA测试团队不愿意购买。