FreeBSD:mod_pagespeed -- 多個弱點 (178ba4ea-fd40-11e1-b2ae-001fd0af1a4c)
medium Nessus Plugin ID 62068
語系:
概要
遠端 FreeBSD 主機缺少安全性相關更新。說明
Google 報告:mod_pagespeed 0.10.22.6 是一個安全性更新,可修正影響舊版的兩個重大問題:
- CVE-2012-4001,自有主機名稱的驗證問題。
- CVE-2012-4360,影響 0.10.19.1 後所有版本的跨網站指令碼攻擊。
第一個問題的影響是可混淆 mod_pagespeed,使其無法判定自己的主機名稱,並誘騙其從其他電腦擷取資源。如果 HTTP 伺服器可存取不提供公開檢視的電腦,這就是一個需要注意的問題。
第二個問題是其允許惡意第三方在執行 mod_pagespeed 的網域內容中,對使用者的瀏覽器執行 JavaScript,進而允許竊取該網站上的使用者 Cookie 或資料。
基於這兩個問題的嚴重性,強烈建議使用者立即更新。
更新後的行為變更:
針對第一個問題的修正,若組態中未明確提及,則 mod_pagespeed 將不會從非 localhost 的電腦擷取資源。這表示如果您需要讓某些其他系統處理伺服器網域中的資源,則您必須明確使用 ModPagespeedMapOriginDomain 或 ModPagespeedDomain 進行授權。
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 62068
檔案名稱: freebsd_pkg_178ba4eafd4011e1b2ae001fd0af1a4c.nasl
版本: 1.6
類型: local
已發布: 2012/9/13
已更新: 2021/1/6
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.4
CVSS v2
風險因素: Medium
基本分數: 5
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
弱點資訊
CPE: p-cpe:/a:freebsd:freebsd:mod_pagespeed, cpe:/o:freebsd:freebsd
必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
修補程式發佈日期: 2012/9/12
弱點發布日期: 2012/9/12
參考資訊
CVE: CVE-2012-4001, CVE-2012-4360