Sun Java系統高級搜素機制跨站腳本漏洞

 

免责声明：本文为网络用户发布，其观点仅代表作者个人观点，与本站无关，本站仅提供信息存储服务。文中陈述内容未经本站证实，其真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。

 

Sun Java System Web Server是高性能的WEB服務器。Sun Java系統Web服務器的高級搜素機制沒有正確地過濾某些用戶輸入，遠程非特權可以通過提交惡意搜索請求執行跨站腳本攻擊，導致用戶在客戶端的web浏覽器中執行任意JavaScript命令，這可能允許遠程用戶竊取cookie信息、劫持會話或導致損失數據保密性。 發布日期：2008-05-23 更新日期：2008-05-27 受影響系統： Sun Java System Web Server 7.0 Update 2 Sun Java System Web Server 7.0 Update 1 Sun Java System Web Server 7.0 Sun Java System Web Server 6.1 描述： ---------------------------------------------------------------------------- BUGTRAQ ID: 29355 Sun Java System Web Server是高性能的WEB服務器。 Sun Java系統Web服務器的高級搜素機制沒有正確地過濾某些用戶輸入，遠程非特權可以通過提交惡意搜索請求執行跨站腳本攻擊，導致用戶在客戶端的web浏覽器中執行任意JavaScript命令，這可能允許遠程用戶竊取cookie信息、劫持會話或導致損失數據保密性。 <*來源：Sun Alert Notification 鏈接：http://secunia.com/advisories/30381/ http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-236481-1 *> 建議： ---------------------------------------------------------------------------- 臨時解決方法： * 編輯以下文件： /bin/https/webapps/search/advanced.jsp 刪除以下行： "> "out.println(s);" 廠商補丁： Sun --- Sun已經爲此發布了一個安全公告（Sun-Alert-236481）以及相應補丁: Sun-Alert-236481：Cross-Site Scripting Vulnerability in the Sun Java System Web Server Advanced Search Mechanism 鏈接：http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-236481-1