发布日期：2004-03-04
更新日期：2004-03-04

受影响系统：

IBM Websphere Application Server 5.x
Microsoft Internet Explorer 6
Squid Web Proxy Cache 2.x

描述：

---

BUGTRAQ  ID: 9804

HTTP响应拆分是一种Web应用漏洞，产生的原因是应用或其环境没有正确过滤输入值。

多家厂商的产品存在HTTP响应拆分及输入验证漏洞，攻击者将HTTP响应拆分成多个部分，然后注入CR/LF序列变体到HTTP响应头，欺骗客户端用户，通过Web应用、浏览器、服务器和代理等攻击Web用户。

<*来源：Amit Klein （Amit.Klein@SanctumInc.com）
  *>

建议：

---

厂商补丁：

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.ibm.com/support/fixcentral/

参考：
http://www.sanctuminc.com/pdf/whitepaper_httpresponse.pdf
http://www.squid-cache.org/Versions/v2/2.5/bugs/#squid-2.5.STABLE7-response_splitting

浏览次数：2089
严重程度：0（网友投票）