Joe Orton har opdaget et problem med "cross site"-udførelse af scripts i mod_ssl, et Apache-modul som føjer stærk kryptografering (dvs. HTTPS-understøttelse) til webserveren. Modulet returnerer servernavnet uden at det er indkapslet, som svar på HTTP-forespørgsler på en SSL-port.
Som de andre nylige Apache XSS-fejl, påvirker dette kun servere som anvender en kombination af "UseCanonicalName off" (standard i Debians Apache-pakke) og wildcard-DNS. Det er dog ikke sandsynligt, at det vil ske. Apache 2.0/mod_ssl er ikke sårbar, da allerede indkapsler denne HTML-kode.
Med denne indstilling slået til, vil Apache hver gang det er nødt til at fremstille en selvrefererende URL (en URL som peger tilbage til serveren som svaret kommer fra), anvende ServerName og Port til at danne et "kanonisk" navn. Med denne indstilling slået fra, vil Apache anvende den hostname:port som klienten leverede, når det er muligt. Dette påvirker også SERVER_NAME og SERVER_PORT i CGI-scripts.
Dette problem er rettet i version 2.8.9-2.1 i den aktuelle stabile distribution (woody), i version 2.4.10-1.3.9-1potato4 i den gamle stabile distribution (potato) og i version 2.8.9-2.3 i den ustabile distribution (sid).
Vi anbefaler at du opgraderer din libapache-mod-ssl-pakke.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.