Mozilla wdraża Content Security Policy

Fundacja Mozilla przyjęła standard Content Security Policy, który według założeń ma zapobiec atakom typu cross site scripting attacks (XSS).

Standard Content Security Policy pozwala stronie internetowej na wyspecyfikowanie domen z których będą mogły pochodzić skrypty działające w obrębie tej strony. Wymagane jest aby skrypty były umieszczone w oddzielnych plikach a nie wplecione w kod HTML. Jest również kilka opcjonalnych zaleceń do których zalicza się: kod nie powinien być generowany ze stringów (łańcuchów tekstowych).

Dzięki implementacji CSP w Firefoksie, trudniej będzie na nim przeprowadzić atak XSS na stronach stosujących ten typ zabezpieczeń. Content Security Policy ma zacząć działać w przeglądarce Mozilli w ciągu 6-12 miesięcy.

Poprawki dla Apache Tomcat

Dostępne są łaty dla serwera www Apache do obsługi technologii Java Servlets i Java Server Pages. Poprawki eliminują trzy usterki.

Podczas odbierania pakietów ze zmanipulowanymi nagłówkami Tomcat zamyka konektor AJP bez zgłoszenia komunikatu o błędzie, co szczególnie w środowiskach typu Load Balancing daje się wykorzystać do przeprowadzenia ataków typu DoS.

W pewnych sytuacjach przekazywanie haseł z nieprawidłowymi parametrami kodowania w adresach URL pozwala stwierdzić, czy podana nazwa użytkownika jest poprawna. Potencjalny napastnik może wykorzystać tę okoliczność do przygotowania dalszych ataków.

Niestety również kalendarz zawiera w swoich przykładach lukę typu Cross-Site Scripting (XSS).

Zgodnie z komunikatem producenta wadliwe są następujące wydania Tomcata: 6.0.0 do 6.0.18, 5.5.0 do 5.5.27 oraz 4.1.0 do 4.1.39.

Wersja 6.0.20 jest wolna od opisanych usterek. Naprawione będą przyszłe edycje oznaczone numerami 5.5.28 i 4.1.40, termin publikacji nie jest ustalony.

Zobacz także