发布日期：2002-07-24
更新日期：2002-08-01

受影响系统：

CacheFlow CacheOS 4.1.06
CacheFlow CacheOS 4.0.14
CacheFlow CacheOS 4.0.13
CacheFlow CacheOS 4.0.12
CacheFlow CacheOS 4.0.11
CacheFlow CacheOS 4.0
CacheFlow CacheOS 3.1.21
CacheFlow CacheOS 3.1.19
CacheFlow CacheOS 3.1.18
CacheFlow CacheOS 3.1.17

不受影响系统：

CacheFlow CacheOS 4.1.07

描述：

---

BUGTRAQ  ID: 5306

Cache OS是一款应用于CacheFlow网络加速系列产品中的操作系统，由CacheFlow维护和开发。

Cache OS对处理"不能解析域名"错误信息时没有正确过滤用户提供的数据，远程攻击者可以利用这个漏洞进行跨站脚本执行攻击。

Cache OS在处理对处理"不能解析域名"错误信息时没有正确过滤"<"、">"、"&"等字符，攻击者可以构建包含合法站点但不存在子域名连接WEB页面，并在连接中包含恶意脚本代码，让此连接被用户点击时，可导致恶意脚本代码在用户浏览器中执行，可使用户基于Cookie认证的信息泄露。

<*来源：T.Suzuki （tss@sccs.chukyo-u.ac.jp）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-07/0283.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时关闭浏览器的javascript功能。

厂商补丁：

CacheFlow
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.cacheflow.com/

浏览次数：2682
严重程度：0（网友投票）