Joe Orton upptäckte ett serveröverskridande skriptproblem i mod_ssl, en Apachemodul som lägger till stark kryptografi (dvs. HTTP-stöd) till webbservern. Modulen returnerar servernamnet utan specialsekvenser som svar till HTTP-förfrågningar på SSL-porten.
Precis som andra serveröverskridande skriptproblem (XSS) i Apache nyligen påverkar detta endast servrar som använder en kombination av ”UseCanonicalName off” (förval i Debians Apachepaket) och jokertecken i DNS. Det är dock inte så troligt att det inträffar. Apache 2.0/mod_ssl är inte sårbart eftersom det redan ersätter specialsekvenser i denna HTML.
Med denna inställning aktiverad använder Apache, då det behöver konstruera en självrefererande URL (en URL som pekar tillbaka på servern svaret kommer från), servernamn och port för att skapa ett ”kanoniskt” namn. Med denna inställning inaktiverad kommer Apache använda värdnamn:port som klienten medsände, när detta är möjligt. Detta påverkar även SERVER_NAME och SERVER_PORT i CGI-skript.
Detta problem har rättats i version 2.8.9-2.1 för den nuvarande stabila utgåvan (Woody), i version 2.4.10-1.3.9-1potato4 för den gamla stabila utgåvan (Potato) samt version 2.8.9-2.3 för den instabila utgåvan (Sid).
Vi rekommenderar att ni uppgraderar ert libapache-mod-ssl-paket.
MD5-kontrollsummor för dessa filer finns i originalbulletinen.