发布日期：2003-06-17
更新日期：2003-06-24

受影响系统：

ISS BlackIce Defender 3.6cbd

描述：

---

BUGTRAQ  ID: 7942

BlackICE PC Protection(以前是BlackICE Defender)是一款结合主机检测和个人防火墙的系统。

BlackICE PC Protection对部分PUT和DELETE请求的内容缺少充分过滤，远程攻击者可以利用这个漏洞绕过跨站脚本匹配规则，导致用户信息泄露。

BlackICE PC Protection对一般的GET或者POST方法请求，对包含恶意代码的请求会提出正常的警告，但是没有检查HEAD、PUT、DELETE和TRACE对<script>模型的请求，因此攻击者可以使用PUT或DELET请求绕过规则匹配而进行跨站脚本执行攻击。

<*来源：marc.ruef （marc.ruef@computec.ch）
  
  链接：http://packetstormsecurity.nl/0306-exploits/blackicepro.txt
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 对PUT或DELETE请求进行正确的规则匹配：

--- cut ---

debian:/etc/snort/rules# head web-misc.rules
# (C) Copyright 2001,2002, Martin Roesch, Brian Caswell, et al.
#    All rights reserved.
# $Id: web-misc.rules,v 1.92.2.2 2003/02/07 22:05:16 cazz Exp $
#---------------
# WEB-MISC RULES
#---------------

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-MISC
cross site scripting attempt"; flow:to_server,established;
content:"<SCRIPT>"; nocase; classtype:web-application-attack; sid:1497;
rev:6;)
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-MISC
cross site scripting \(img src=javascript\) attempt";
flow:to_server,established; content:"img src=javascript"; nocase;
classtype:web-application-attack; sid:1667; rev:4;)
[...]

--- cut ---

厂商补丁：

ISS
---
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://xforce.iss.net

浏览次数：3037
严重程度：0（网友投票）