Apache HTTP Server balancer_handler函数跨站脚本漏洞(CVE-2012-4558)

最新推荐文章于 2022-08-16 13:24:20 发布
最新推荐文章于 2022-08-16 13:24:20 发布
阅读量234 收藏
点赞数
原文链接:http://www.cnblogs.com/security4399/archive/2013/02/28/2937959.html
版权
SSV-ID:  60657
漏洞版本:
Apache Group HTTP Server 2.4.x
Apache Group HTTP Server 2.2.x
漏洞描述:
BUGTRAQ  ID: 58165
CVE(CAN) ID: CVE-2012-4558

Apache HTTP Server是开源HTTP服务器。

Apache HTTP Server被报告存在多个漏洞,攻击者能利用这些漏洞进行跨站脚本攻击。

1)mod_info, mod_ldap, mod_status, mod_imagemap, 以及mod_proxy_ftp模块中某些与hostnames和URI相关的输入没有经过正确的检查即返回给用户。
2)传递给mod_proxy_balancer模块管理接口的某些不确定输入没有经过正确检查即返回给用户。

这些漏洞可能被恶意攻击者用来在受影响的网站上下文中插入代码,从而在用户浏览器会话中执行任意HTML和脚本代码。

漏洞影响 2.2.24之前的版本以及2.4.4。
<* 参考
http://secunia.com/advisories/52394/
*>
安全建议:
厂商补丁:

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://httpd.apache.org/

转载于:https://www.cnblogs.com/security4399/archive/2013/02/28/2937959.html

weixin_30326515
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nginx_redirect_balancer:尝试使用lua-nginx-module将Nginx用作重定向平衡器
05-06
nginx_redirect_balancer“ 尝试在nginx内实现重定向器,其工作方式类似于 用法 使用lua-nginx-module和lua-upstream-module以及ngx_devel_kit安装nginx ./configure --with-ld-opt=-Wl,-rpath,/usr/local/lib --...
Apache httpd-2.2.25-win32-x86-no_ssl.msi
03-12
Apache HTTP Server,通常简称为Apache,是世界上最流行的Web服务器软件之一。这个名为"Apache httpd-2.2.25-win32-x86-no_ssl.msi"的压缩包文件包含的是Apache服务器的一个Windows 32位版本,适用于不支持SSL(安全...
Apache HTTP Server日志内终端转义序列命令注入漏洞
weixin_30263073的博客
05-17 183
漏洞版本: Apache Group HTTP Server 2.2.x 漏洞描述: BUGTRAQ ID: 59826 CVE(CAN) ID: CVE-2013-1862 Apache HTTP Server是开源HTTP服务器。 Apache HTTP Server mod_rewrite向日志文件写入数据时,没有过滤不能打印的字符。如果 mod_rewri...
WebSphere Comments Collections组件反序列化漏洞CVE-2015-7450)
草衣的博客
05-30 1万+
刚刚完成了一个项目,在上线之前请求安全部门进行漏洞扫描,其中有一个漏洞名称是“WebSphere Comments Collections组件反序列化漏洞CVE-2015-7450)”,按照扫描结果的提示解决方案,成功解决了,先分享一下。 详细描述 Apache Commons Collections可以扩展或增加Java集合框架,是Commons Prope
2018最新linux漏洞,Apache ZooKeeper安全限制绕过漏洞(CVE-2018-8012)
weixin_42467627的博客
05-16 2324
Apache ZooKeeper安全限制绕过漏洞(CVE-2018-8012)发布日期:2018-05-21更新日期:2018-05-30受影响系统:Apache Group ZooKeeper < 3.4.10Apache Group ZooKeeper 3.5.0-alpha-3.5.3-beta描述:BUGTRAQ ID: 104253CVE(CAN) ID: CVE-2018-80...
openshift-cross-cluster-loadbalancer:适用于OpenShift的智能跨集群负载均衡器
05-12
OpenShift跨集群负载均衡器这是一个tcp负载平衡器,它知道多个OpenShift群集及其导出的路由。 还使用Pod筛选器来确定HA-Proxy在何处运行。 这是我的硕士论文期间创建的原型,旨在证明一种无需中断时间和风险即可更新...
aws-load-balancer-controller:用于Elastic Load Balancer的Kubernetes控制器
02-01
AWS Load Balancer Controller是一个控制器,可帮助管理Kubernetes集群的Elastic Load Balancer。 通过配置它可以满足Kubernetes。 它通过配置满足Kubernetes。 该项目以前称为“ AWS ALB Ingress Controller”,...
Apache_Http_Server安装与配置完美手册
10-24
Apache HTTP Server,通常简称为Apache,是世界上最流行的Web服务器软件之一,它开源、免费,并且具有高度可定制性。这份“Apache_HTTP_Server安装与配置完美手册”无疑将为那些希望深入了解和操作Apache服务器的...
tomcat 漏洞解决方案2
ahead_zhan的博客
07-28 475
[b]Apache Tomcat WebDav远程信息泄露漏洞[/b] 如果将Apache Tomcat的WebDAV servlet配置为同上下文使用且允许写访问的话,则远程攻击者可以通过提交指定了SYSTEM标签的WebDAV请求导致泄露任意文件的内容。 建议: 厂商补丁Apache Group ------------ 目前厂商已经发布升级补丁修复这个安全问题,请到厂商的...
第一次漏洞分析(暴雷漏洞CVE-2012-1889)
九层台
11-30 1236
作为第一次分析,从萌新的角度分析一下漏洞。 环境 windows xp sp3 ie 6 漏洞出现模块msxml3.dll 那么老xp版本还没有pie直接找这个地址就行,美滋滋。系统好像是延迟绑定的,在刚开始的时候这个模块并没有加载,让程序运行结束在ctl+g就能找到这个地址了。 触发脚本 &lt;html&gt; &lt;head&gt; &lt;title&gt;CVE 2012-...
PHP中怎样避免SQL注入漏洞和XSS跨站脚本攻击漏洞
weixin_41380972的博客
12-29 2042
漏洞危害: 黑客利用精心组织的SQL语句,通过Web表单注入的Web应用中,从而获取后台DB的访问与存取权限。获取相应的权限之后,可以对网页和数据库进行进一步的篡改、挂马和跳板攻击行为。 防止SQL注入代码: 主要是利用magic_quotes_gpc指令或它的搭挡addslashes()函数; 如果要自己拼SQL语句,一定要自己再过滤一下【addslashes】,也不是直接就能过滤,还要考...
常见SQL Server 2000漏洞及其相关利用
zgqtxwd的专栏
04-30 361
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
关于防止 PHP 中的跨站脚本漏洞你需要知道的一切
allway2的博客
08-16 1037
HTML Purifier 没有尝试天真地搜索和替换用户输入字符串中的恶意片段,而是将整个字符串消化为 HTML 文档,将其分解为标记,并根据白名单和每个属性的 RFC 定义验证所有元素和属性。自动转义不仅使您的代码更易于阅读,而且还可以防止单个疏忽成为具有恶意负载的攻击者的入口点。“转义所有 HTML 实体”方法是安全的,并且非常适用于用户不应该提供自己的 HTML 标记的情况。在一个上下文中是安全的(例如允许使用 HTML)在其他上下文中可能是灾难性的(例如,我们处于 HTML 属性的中间)。...
常见的SQL Server 2000的漏洞及其相关利用
xiaoer
07-06 470
常见的SQL Server 2000的漏洞及其相关利用 单位的小王学习SQL Server已有一段时间了,已经做了个不错的管理系统,有次小王让我帮着看看库的设计有没有问题,其间我发现他的安全意识非常薄弱,这也许是初学者容易忽视的问题,本文探讨一些SQL Server常见的安全问题,是给初入SQL Server的人看的,写的肯定很絮叨,高手勿读。本文的用的是SQL Server 2000,下文...
Apache HTTP Server 中发现严重安全漏洞
darkng2015的博客
03-09 1807
IT安全公司 Sense of Security在ApacheHTTP web server中发 现了一 个严重的漏洞,该漏洞允许远程攻击者获得一个数据库的完整控制权。该漏洞存在于Apache核心的mod_isapi模块中 利用该漏洞,一位攻 击者能远程提升系统权限,从而威胁到数据安全Apache 2.2.14及早期版本的用户应该尽快升级Apache 2.2.15。不过,...
利用最新Apache解析漏洞CVE-2017-15715)绕过上传黑名单
热门推荐
大方子
08-25 2万+
我在代码审计知识星球里提到了Apache最新的一个解析漏洞CVE-2017-15715): 除了帖子中说到的利用方法,我们还可以利用这个漏洞来绕过上传黑名单限制。 目标环境 比如,目标存在一个上传的逻辑:   &lt;?php if(isset($_FILES['file'])) { $name = basename($_POST['name']); $ext =...
服务器系统及软件常见漏洞
runfeel
07-10 1920
最近由有一个什么事情,大家都懂。上头发了个加密传真,要求加强网络安全检查,于是乎所有服务器进行了大扫描,现整理一些常见漏洞... 漏洞名称 允许Traceroute探测 远端WWW服务支持TRACE请求 远端WWW服务提供了对WebDAV的支持 远端WEB服务器上存在/robots.txt文件 远端VNC服务正在运行 远端HTTP服务器类型和...
Load balancer does not have available server for client: qyxn-talent-api
最新发布
10-20
根据提供的引用内容,Load balancer does not have available server for client: qyxn-talent-api这个错误通常是由于Feign客户端无法找到可用的服务实例而引起的。这可能是由于服务实例未启动或未注册到服务注册表中。您可以检查服务实例是否已启动并已正确注册到服务注册表中。如果服务实例已启动并已注册,则可能是由于负载均衡器无法找到可用的服务实例。您可以检查负载均衡器的配置以确保它可以正确地查找可用的服务实例。如果您使用的是Spring Cloud Netflix,您可以尝试使用Eureka来注册和发现服务实例。如果您使用的是Spring Cloud Kubernetes,则可以使用Kubernetes服务发现来注册和发现服务实例。如果您使用的是其他服务发现机制,则需要相应地配置您的负载均衡器以使用该机制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值