漏洞信息详情

Apache ‘mod_pagespeed’模块跨站脚本漏洞

• CNNVD编号：CNNVD-201310-677
• 危害等级： 中危
  
• CVE编号： CVE-2013-6111
• 漏洞类型： 跨站脚本
• 发布时间： 2013-10-28
• 威胁类型： 远程
• 更新时间： 2013-11-05
• 厂        商： modpagespeed
• 漏洞来源：

漏洞简介

Apache mod_pagespeed是美国谷歌（Google）公司为Apache HTTP服务器提供的一种能够减少网站的页面加载时间的模块。

Apache HTTP Server中的mod_pagespeed模块中存在跨站脚本漏洞。远程攻击者可利用该漏洞注入任意Web脚本或HTML。以下版本受到影响：mod_pagespeed 0.x，1.0.22.7，1.1.x，1.24.1，1.3.25.1至1.3.25.4版本，1.4.26.1至1.4.26.4版本，1.5.27.1至1.5.27.3版本，1.6.29.1至1.6.29.6版本。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://groups.Google.com/forum/#!msg/mod-pagespeed-announce/oo015UHRxMc/JcAuf1hE8L8J

参考网址

来源: groups.Google.com

链接:https://groups.Google.com/d/msg/mod-pagespeed-announce/oo015UHRxMc/JcAuf1hE8L8J

来源: SECUNIA

名称: 55429

链接:http://secunia.com/advisories/55429

来源: BID

名称: 63400

链接:http://www.securityfocus.com/bid/63400

受影响实体

• Modpagespeed Mod_pagespeed:1.3.25.3:Beta  
• Modpagespeed Mod_pagespeed:1.2.24.1  
• Modpagespeed Mod_pagespeed:1.3.25.1:Beta  
• Modpagespeed Mod_pagespeed:1.3.25.2:Beta  
• Modpagespeed Mod_pagespeed:0.9.1.1-171  

补丁

• mod-pagespeed-stable_1.4.26.5-r3533_amd64
• mod-pagespeed-stable_1.3.25.5-r3534_amd64
• mod-pagespeed-stable_1.2.24.2-r3534_amd64
• mod-pagespeed-beta_1.6.29.7-r3343_amd64
• mod-pagespeed-stable_1.0.22.8-r3546_amd64