检测

FreeBSD:mod_pagespeed -- 多种漏洞 (178ba4ea-fd40-11e1-b2ae-001fd0af1a4c)

medium Nessus 插件 ID 62068

语言:

简介

远程 FreeBSD 主机缺少与安全相关的更新。

描述

Google 报告:

mod_pagespeed 0.10.22.6 为安全更新,修复了两个影响较早版本的危急问题:

- CVE-2012-4001,自身主机名验证存在问题。

- CVE-2012-4360,跨站脚本攻击,影响从 0.10.19.1 开始的版本。

第一个问题的影响是,可能混淆关于其自己的主机名的 mod_pagespeed,并诱骗它从其他计算机提取资源。如果 HTTP 服务器拥有对非公开可见的计算机的访问权限,则将导致此问题。

第二个问题将允许恶意第三方在运行 mod_pagespeed 的域的上下文的用户浏览器中执行 JavaScript,这可允许拦截站点上的用户 Cookie 或数据。

由于这两个问题的严重性,强烈建议用户立即更新。

更新中的行为更改:

作为第一个问题的补丁的一部分,如果在配置中未明确提及,mod_pagespeed 将不会从 localhost 以外的计算机提取资源。这意味着如果您需要通过其他系统处理服务器的域上的资源,您将需要使用 ModPagespeedMapOriginDomain 或 ModPagespeedDomain 进行明确授权。

解决方案

更新受影响的程序包。

另见

http://www.nessus.org/u?6337af0f

http://www.nessus.org/u?00f96735

插件详情

严重性: Medium

ID: 62068

文件名: freebsd_pkg_178ba4eafd4011e1b2ae001fd0af1a4c.nasl

版本: 1.6

类型: local

发布时间: 2012/9/13

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Low

分数: 3.4

CVSS v2

风险因素: Medium

基本分数: 5

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:mod_pagespeed, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2012/9/12

漏洞发布日期: 2012/9/12

参考资料信息

CVE: CVE-2012-4001, CVE-2012-4360