Symantec SecurityExpressions跨站脚本和HTML注入漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2009-10-14
Symantec SecurityExpressions跨站脚本和HTML注入漏洞 影响版本:
Symantec SecurityExpressions 4.1.1
Symantec SecurityExpressions 4.1漏洞描述:
BUGTRAQ  ID: 36570,36571
CVE(CAN) ID: CVE-2009-3029,CVE-2009-3030

Symantec SecurityExpressions是用于在企业执行安全核查、合规性和配置检查的安全解决方案。

SecurityExpression审计和合规性服务器没有正确地验证客户端提交给控制台的输入,远程安全者可以通过提交恶意请求执行存储式跨站脚本安全;此外由于没有正确地编码响应的出错消息,远程安全者还可以在返回给用户的响应中注入恶意HTML内容。<*参考 
http://secunia.com/advisories/36972/
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2009&suid=20091006_00
*>
SEBUG安全建议:
厂商补丁:

Symantec
--------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://kb.altiris.com/