Joe Orton descubrió un problema de scripts a través del sitio en mod_ssl, un módulo de Apache que añade criptografía fuerte (por ejemplo, soporte de HTTPS) para el servidor web. El módulo devolverá el nombre del servidor sin escapar en respuesta a una petición HTTP sobre un puerto SSL.
Como otros errores recientes de Apache XSS, esto sólo afecta a servidores que usen una combinación de "UseCanonicalName off" (por defecto en el paquete Debian de Apache) y un DNS con comodines. Esto es muy extraño que ocurra, por tanto. Apache 2.0/mod_ssl no es vulnerable porque ya escapa este HTML.
Con esta preferencia activada, si Apache tiene que construir una URL que se referencie a sí misma (una URL que se refiera al servidor del que viene la respuesta) usará ServerName y Port para formar un nombre «canónico». Con esta preferencia desactivada, Apache usará el nombredemáquina:puerto que suministró el cliente, cuando sea posible. Esto también afecta a SERVER_NAME y SERVER_PORT en scripts de CGI.
Este problema se ha corregido en la versión 2.8.9-2.1 para la distribución estable actual (woody), en la versión 2.4.10-1.3.9-1potato4 para la distribución estable anterior (potato) y en la versión 2.8.9-2.3 para la distribución inestable (sid).
Le recomendamos que actualice el paquete libapache-mod-ssl.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.