VULHUB ™

BUGTRAQ ID: 30560 CVE(CAN) ID: CVE-2008-2939 Apache HTTP Server是一款流行的Web服务器。 如果将Apache HTTP Server配置了代理支持（配置文件中ProxyRequests On）且启用了mod_proxy_ftp模块以提供HTTP上FTP支持的话，则类似于以下的包含有通配符字符（“*”、“'”、“[”等）的请求： GET ftp://host/*&lt;foo&gt; HTTP/1.0 就会在mod_proxy_ftp所返回的响应中导致跨站脚本攻击： [...] &lt;h2&gt;Directory of &lt;a href=&quot;/&quot;&gt;ftp://host&lt;/a&gt;/*&lt;foo&gt;&lt;/h2&gt; [...] 如果要利用这个漏洞，host必须运行在FTP服务器上，路径最后一个目录组件（XSS负载）必须包含有至少一个通配符字，且不能包含有斜线。 Apache Group Apache 2.2.9 Apache Group Apache 2.0.63 Apache Group ------------ 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href=http://svn.apache.org/viewvc?view=rev&amp;revision=682868 target=_blank>http://svn.apache.org/viewvc?view=rev&amp;revision=682868</a>

BUGTRAQ ID: 30560 CVE(CAN) ID: CVE-2008-2939 Apache HTTP Server是一款流行的Web服务器。 如果将Apache HTTP Server配置了代理支持（配置文件中ProxyRequests On）且启用了mod_proxy_ftp模块以提供HTTP上FTP支持的话，则类似于以下的包含有通配符字符（“*”、“'”、“[”等）的请求： GET ftp://host/*&lt;foo&gt; HTTP/1.0 就会在mod_proxy_ftp所返回的响应中导致跨站脚本攻击： [...] &lt;h2&gt;Directory of &lt;a href=&quot;/&quot;&gt;ftp://host&lt;/a&gt;/*&lt;foo&gt;&lt;/h2&gt; [...] 如果要利用这个漏洞，host必须运行在FTP服务器上，路径最后一个目录组件（XSS负载）必须包含有至少一个通配符字，且不能包含有斜线。 Apache Group Apache 2.2.9 Apache Group Apache 2.0.63 Apache Group ------------ 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href=http://svn.apache.org/viewvc?view=rev&amp;revision=682868 target=_blank>http://svn.apache.org/viewvc?view=rev&amp;revision=682868</a>