Apache 1.3.x/2.0.x/2.2.x: „Cross-Site Scripting“-Attacke möglich

Eingaben in den „Expect:“-Header überprüft die Software nicht ausreichend. Das könnte sich eventuell ausnutzen lassen, um beliebigen HTML- oder Scriptcode in einer Browser-Session laufen zu lassen.

Betroffen sind alle Versionen vor 1.3.35, 2.0.58 und 2.2.2. Ursprünglich wurde die Sicherheitslücke von Apache nicht einmal als solche eingestuft. Es gab keine Anzeichen für einen existierenden Exploit. Weitere Nachforschungen ergaben, dass dies mit einer speziell präparierten Flash-Datei doch möglich ist. (jdo)

Sie interessieren sich für Linux? Dann abonnieren Sie doch den kostenlosen Linux-Newsletter von tecCHANNEL. Er wird in der Regel einmal pro Woche am Freitag verschickt und enthält nur die für Linux-Anwender relevanten News und Beiträge von tecChannel.de. So sparen Sie Zeit und sind trotzdem voll informiert. Hier geht es zur Anmeldeseite.