Accessibilità
Adobe
Accedi Privacy Il mio Adobe

Consulenza sulla sicurezza

Soluzioni lato server per evitare una possibile vulnerabilità di cross-site scripting nelle versioni 7.0.8 e precedenti di Adobe Reader e Acrobat

Data di pubblicazione: 9 gennaio 2007

Identificatore di vulnerabilità: APSA07-02

Codice CVE: CVE-2007-0045

Riepilogo

Questa Consulenza sulla sicurezza ha lo scopo di fornire soluzioni lato server agli operatori dei siti web per evitare la vulnerabilità di cross-site scripting descritta nel Bollettino sulla sicurezza APSB07-01. Adobe consiglia agli utenti di Adobe Reader e Acrobat di aggiornare il software* interessato per risolvere il problema.

Soluzione

Adobe consiglia agli utenti di Adobe Reader e Acrobat di aggiornare il software* interessato per risolvere il problema. Lo possibili soluzioni lato server sono illustrate dettagliatamente di seguito.

NOTA: per applicare queste modifiche di configurazione ai server di produzione, è innanzitutto necessario testarle per assicurarsi che funzionino per l'ambiente in uso.

Modificare il tipo MIME dei file PDF.
Un modo per evitare che i plug-in di Adobe Reader e Acrobat consentano al codice JavaScript di introdursi nel browser consiste nel far sì che i file PDF si aprano all'esterno del browser e di Adobe Reader e Acrobat Professional. A questo scopo, modificare il tipo MIME (Multipurpose Internet Mail Extension) dell'estensione di file PDF (application/pdf) in un file binario generico (application/octet-stream) che il browser web chiederà di aprire o salvare.


IIS 6.0
  1. Aprire Gestione Internet Information Services.
  2. Individuare la cartella che contiene i file PDF sul sito web.
  3. Fare clic con il pulsante destro del mouse sulla cartella, quindi scegliere Proprietà.
  4. Selezionare la scheda Intestazioni HTTP.
  5. Fare clic sul pulsante Tipi MIME….
  6. Fare clic sul pulsante Nuovo... per creare un nuovo tipo MIME.
  7. Digitare pdf nel campo Estensione e application/octet-stream nel campo Tipo MIME.
  8. Fare clic su ok.
  9. Fare clic su ok.
  10. Fare clic su ok per applicare le modifiche.

Nota: è possibile modificare questa proprietà in un file specifico.

Apache 2.2.3

Utilizzare mod_mime e AddType o mod_rewrite

  1. Aprire httpd.conf o il file con estensione .htaccess
  2. Individuare la sezione <IfModule mime_module>
  3. Inserire AddType application/octet-stream .pdf
  4. Chiudere e salvare il file httpd.conf o con estensione .htaccess
  5. Riavviare il servizio Apache

Aggiungere l'intestazione Content-Disposition
In modo simile alla modifica del tipo MIME è possibile aggiungere un'intestazione Content-Disposition alla risposta del server.


IIS 6.0
  1. Aprire Gestione Internet Information Services.
  2. Individuare la cartella che contiene i file PDF sul sito web.
  3. Fare clic con il pulsante destro del mouse sulla cartella, quindi scegliere Proprietà.
  4. Selezionare la scheda Intestazioni HTTP.
  5. Fare clic sul pulsante Tipi MIME….
  6. Fare clic sul pulsante Aggiungi nella sezione Intestazioni HTTP personalizzate.
  7. Aggiungere un'intestazione denominata Content-Disposition con il valore

attachment; filename=yourfile.pdf

  1. Fare clic su ok per applicare le modifiche.

Questa impostazione viene applicata per ogni singolo file.

Apache 2.2.3

Utilizzare mod_headers

  1. Aprire httpd.conf
  2. Aggiungere

<IfModule mod_headers.c>
  <FilesMatch "\.pdf$">
      Header append Content-Disposition "attachment;"
  </FilesMatch>
</IfModule>

  1. Chiudere e salvare il file httpd.conf
  2. Riavviare il servizio Apache

Archiviare il file PDF in una cartella web non accessibile
In un ambiente in cui non è possibile accedere ai file di configurazione, provare a creare un codice lato server (ColdFusion, Java, PHP, ASP.NET e così via) per la lettura del file e la restituzione come parte della risposta.Ad esempio, MyPDF.cfm può rappresentare uno script che restituisce il file PDF vero e proprio.
Nota: è ancora necessario impostare Response.ContentType su “application/pdf” o “application/octet-stream”. Per ulteriori informazioni, consultare la documentazione del linguaggio lato server.

Livello di gravità

Adobe classifica questo aggiornamento come importante* e consiglia agli utenti interessati di aggiornare il software.

Informazioni dettagliate

Questa Consulenza sulla sicurezza ha lo scopo di fornire soluzioni lato server agli operatori dei siti web per evitare la vulnerabilità di cross-site scripting descritta nel Bollettino sulla sicurezza APSB07-01. Una vulnerabilità di cross-site scripting (XSS) nelle versioni 7.0.8 e precedenti di Adobe Reader e Acrobat può consentire ad aggressori remoti di inserire codice JavaScript arbitrario in una sessione del browser. Questo problema può verificarsi quando un utente fa clic su un collegamento illegale a un file PDF. Può essere sfruttato a seconda del browser e della relativa versione in uso. Questa vulnerabilità non consente l'esecuzione di codice binario. Questo problema può essere sfruttato da remoto. Adobe consiglia agli utenti di Adobe Reader e Acrobat di aggiornare il software* interessato per risolvere il problema.

 

Consulenza sulla sicurezza
Servizio di notifica*
Risorse*
Avvisi*
Valutazione della gravità

Prodotti

Download

Supporto e formazione

Acquista

Società

Scegli il paese

Copyright © 2013 Adobe Systems Software Ireland Ltd. All rights reserved.

Termini di utilizzo | Privacy | Cookie