安全研究
安全漏洞
IBM WebSphere Edge Server Caching Proxy跨站脚本执行漏洞
发布日期:2002-10-23
更新日期:2002-10-28
受影响系统:IBM Web Traffic Express Caching Proxy Server v4.x
IBM Web Traffic Express Caching Proxy Server v3.6
描述:
BUGTRAQ ID:
6000
CVE(CAN) ID:
CVE-2002-1167
IBM WebSphere Edge Server Caching Proxy是WEB服务器缓存代理系统。
缓冲代理服务器对用户提交的请求缺少正确过滤,远程攻击者可以利用这个漏洞构建恶意WEB页,诱使用户点击,进行跨站脚本执行攻击。
缓冲代理服务器对用户提交的路径请求过滤不正确,攻击者可以通过构建包含任意HTML和脚本代码的链接,诱使目标用户点击链接,就可以导致攻击者提供的脚本代码在客户端浏览器上执行,可窃取基于Cookie认证的信息,也可能获得本地文件内容。
<*来源:Rapid 7 Security Advisories (
advisory@rapid7.com)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=103541198319190&w=2
*>
建议:
临时解决方法:
* 暂时关闭浏览器的javascript功能。
厂商补丁:
IBM
---
IBM需要安装Caching Proxy efix build 4.0.1.26或者更高版本的补丁。Efix可以从IBM的FTP站点中获得。客户也可以联系IBM供应商获得补丁。
http://www.ers.ibm.com/浏览次数:2934
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |