发布日期：2003-12-05
更新日期：2003-12-09

受影响系统：

NetScreen ScreenOS 4.0.3 r4
NetScreen ScreenOS 4.0.3 r3
NetScreen ScreenOS 4.0.3 r2
NetScreen ScreenOS 4.0.3 r1
NetScreen ScreenOS 4.0.3
NetScreen ScreenOS 4.0.2
NetScreen ScreenOS 4.0.1 r9
NetScreen ScreenOS 4.0.1 r8
NetScreen ScreenOS 4.0.1 r7
NetScreen ScreenOS 4.0.1 r6
NetScreen ScreenOS 4.0.1 r5
NetScreen ScreenOS 4.0.1 r4
NetScreen ScreenOS 4.0.1 r3
NetScreen ScreenOS 4.0.1 r2
NetScreen ScreenOS 4.0.1 r10
NetScreen ScreenOS 4.0.1 r1
NetScreen ScreenOS 4.0.1
NetScreen ScreenOS 4.0 r9
NetScreen ScreenOS 4.0 r8
NetScreen ScreenOS 4.0 r7
NetScreen ScreenOS 4.0 r6
NetScreen ScreenOS 4.0 r5
NetScreen ScreenOS 4.0 r4
NetScreen ScreenOS 4.0 r3
NetScreen ScreenOS 4.0 r2
NetScreen ScreenOS 4.0 r12
NetScreen ScreenOS 4.0 r11
NetScreen ScreenOS 4.0 r10
NetScreen ScreenOS 4.0 r1

描述：

---

BUGTRAQ  ID: 9160

Netscreen是一款防火墙安全解决方案，其操作系统为ScreenOS。

Netscreen不正确处理会话超时操作，可导致攻击者可以利用这个漏洞重用之前的会话，未授权访问系统。

使用netscreen的Web UI组件进行管理，如果设置了闲置时间或退出，Internet Explorer会提示类似如下信息：

"The Web page you are viewing is trying to close the window.
Do you want to close this window?"

http://192.168.20.250/close.html*0

但是如果选择"no"，并使用浏览器的后退键，可以重新进入NetScreen的管理IP地址，并不需要任何验证就可以进行访问。

<*来源：basa （mochafrap@mix.ph）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=107064857607092&w=2
*>

建议：

---

厂商补丁：

NetScreen
---------
目前厂商已经在ScreenOS 5.0中修复了这个安全问题，请到厂商的主页下载：

http://www.netscreen.com

浏览次数：2726
严重程度：0（网友投票）