Sun Java系统高级搜素机制跨站脚本漏洞
2008-06-03 20:50:23 来源:WEB开发网
发布日期:2008-05-23
更新日期:2008-05-27
受影响系统:
Sun Java System Web Server 7.0 Update 2
Sun Java System Web Server 7.0 Update 1
Sun Java System Web Server 7.0
Sun Java System Web Server 6.1
描述:
----------------------------------------------------------------------------
BUGTRAQ ID: 29355
Sun Java System Web Server是高性能的WEB服务器。
Sun Java系统Web服务器的高级搜素机制没有正确地过滤某些用户输入,远程非特权可以通过提交恶意搜索请求执行跨站脚本攻击,导致用户在客户端的web浏览器中执行任意Javascript命令,这可能允许远程用户窃取cookie信息、劫持会话或导致损失数据保密性。
<*来源:Sun Alert Notification
链接:http://secunia.com/advisories/30381/
http://sunsolve.sun.com/search/PRintfriendly.do?assetkey=1-66-236481-1
*>
建议:
----------------------------------------------------------------------------
临时解决方法:
* 编辑以下文件:
/bin/https/webapps/search/advanced.jsp
删除以下行:
">
"out.println(s);"
厂商补丁:
Sun
---
Sun已经为此发布了一个安全公告(Sun-Alert-236481)以及相应补丁:
Sun-Alert-236481:Cross-Site Scripting Vulnerability in the Sun Java System Web Server Advanced Search Mechanism
链接:http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-236481-1
更多精彩
赞助商链接