Уязвимость Apache2 Undefined Charset UTF-7 XSS

Ну, во-первых, это повлияет на вас, только если вы используете mod_autoindex. В противном случае вы можете прекратить читать сейчас, поскольку в коде, который вы используете, нет уязвимостей (хотя в идеале не начинайте использовать этот модуль, пока вы не обновите сервер).

В противном случае создается впечатление, что злоумышленник может воспользоваться тем фактом, что набор символов явно не установлен для встраивания собственного сценария в страницу с специально созданным URL-адресом. Этот URL-адрес будет использовать параметр «P», чтобы указать фильтр для автоиндексирования; пример эксплойта по понятным причинам не был приведен, но предположительно определенные умные манипуляции с текстом позволили бы злоумышленнику вставить свой собственный Javascript на возвращаемую страницу.

Следовательно, это стандартный XSS атака (прочтите ссылку, если вы не знакомы с разветвлениями).

Я бы посоветовал сильно выполнить обновление, если это затронуло вас, чтобы получить полную безопасность. Пользователи должны понимать, что отключение веб-сайта на некоторое время для повышения безопасности, и это намного лучше, чем подвергнуться эксплойту. Тем не менее, временный обходной путь состоит в том, чтобы исключить любые параметры P из входящих запросов (при условии, что никакие другие страницы вашего сайта не принимают такой параметр и что никакие другие страницы не полагаются на передачу фильтров на автоматически проиндексированные страницы) или даже просто отключить мод автоиндексирования вообще.

В итоге я обновился до Apache 2.2.11!

Однако ответ dtsazza был правильным, но МОЯ группа тестирования VA не купила его. :)