安全研究

安全漏洞
Microsoft Windows Sharepoint服务跨站脚本和伪造攻击漏洞(MS05-006)

发布日期:2005-02-08
更新日期:2005-02-13

受影响系统:
Microsoft SharePoint Portal Server for Windows Server 2003
不受影响系统:
Microsoft SharePoint Portal Server 2003
Microsoft SharePoint Portal Server 2001
描述:
CVE(CAN) ID: CVE-2005-0049

Windows SharePoint Services是一款Windows服务器基于WEB的信息共享和文档协作技术。

Windows SharePoint Services存在跨站脚本和伪造问题,远程攻击者可以利用这个漏洞访问目标用户系统上的任何数据,或修改WEB浏览或代理服务器缓冲。

跨站脚本问题需要攻击者诱使用户运行恶意脚本,如果这个恶意脚本被运行,就会以目标用户上下文执行,此漏洞需要用户交互,成功利用此问题攻击者可以访问目标用户系统上任何数据。

另外存在伪造问题,允许攻击者利用这个漏洞修改WEB浏览器缓冲和中间代理服务器缓冲,或者放入伪造内容到这些缓冲区中。

<*来源:Microsoft Security Team (secure@microsoft.com
  
  链接:http://www.microsoft.com/technet/security/bulletin/ms05-006.mspx
*>

建议:
厂商补丁:

Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS05-006)以及相应补丁:
MS05-006:Vulnerability in Windows SharePoint Services and SharePoint Team Services Could Allow Cross-Site Scripting and Spoofing Attacks (887981)
链接:http://www.microsoft.com/technet/security/bulletin/ms05-006.mspx

补丁下载:

Windows SharePoint Services for Windows Server 2003

http://www.microsoft.com/downloads/details.aspx?FamilyId=6BB93661-0CE7-46CF-B8BB-55546B58A2F2

SharePoint Team Services from Microsoft

http://www.microsoft.com/downloads/details.aspx?FamilyId=6BE3F8AD-768E-4BCB-8EB3-AD74B576038C

http://www.microsoft.com/downloads/details.aspx?FamilyId=6BE3F8AD-768E-4BCB-8EB3-AD74B576038C

浏览次数:3009
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障