发布日期：2002-10-23
更新日期：2002-10-28

受影响系统：

IBM Web Traffic Express Caching Proxy Server v4.x
IBM Web Traffic Express Caching Proxy Server v3.6

描述：

---

BUGTRAQ  ID: 6001
CVE(CAN) ID: CVE-2002-1168

IBM WebSphere Edge Server Caching Proxy是WEB服务器缓冲代理系统。

缓冲代理服务器对用户提交的'Location:'头信息请求缺少正确过滤，远程攻击者可以利用这个漏洞构建恶意WEB页，诱使用户点击，进行跨站脚本执行攻击。

缓冲代理服务器对用户提交的'Location'数据过滤不正确，攻击者可以通过构建HTTP头部'Location'字段中包含任意HTML和脚本代码的链接，诱使目标用户点击链接，就可以导致攻击者提供的脚本代码在客户端浏览器上执行，可窃取基于Cookie认证的信息，也可能获得本地文件内容。

<*来源：Rapid 7 Security Advisories （advisory@rapid7.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=103541198319190&w=2
*>

建议：

---

临时解决方法：

* 暂时关闭浏览器的JavaScript功能。

厂商补丁：

IBM
---
IBM需要安装Caching Proxy efix build 4.0.1.26或者更高版本的补丁。Efix可以从IBM的FTP站点中获得。客户也可以联系IBM供应商获得补丁。

http://www.ers.ibm.com/

浏览次数：3695
严重程度：0（网友投票）