Joe Orton descobriu um problema de cross site scripting no mod_ssl, um módulo do apache que adiciona criptografia forte (i.e suporte a HTTPS) para o servidor. O módulo retornará o nome do servidor sem seqüência de escape em resposta a uma requisição HTTP na porta SSL.
Como em outros bugs XSS recentes do Apache, isso somente afeta servidores usando uma combinação de "UseCanonicalName off" (padrão no pacote Debian do Apache) e coringas de DNS, embora seja muito improvável de acontecer. O Apache 2.0/mod_ssl não é vulnerável pois já possui seqüencia de escape.
Com esta configuração habilitada, se o apache precisar, para construir uma URL de Auto-Referência (uma URL que entrega a resposta que está chegando de volta para o servidor), ele usará o Nome do Servidor e Porta formando um nome "Canônico". Com essa configuração desligada, o Apache usará, quando possível o nome_do_host:porta que o cliente fornecer. Isso também afeta SERVER_NAME e SERVER_PORT nos scripts CGI.
Esse problema foi corrigido na versão 2.8.9-2.1 para a atual distribuição estável (woody), na versão 2.4.10-1.3.9-1potato4 para a antiga distribuição (potato) e na versão 2.8.9-2.3 para a distribuição instável (sid).
Nós recomendamos que você atualize seu pacote libapache-mod-ssl.
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.