Red Hat Stronghold Web服务器跨站脚本漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2009-04-30
Red Hat Stronghold Web服务器跨站脚本漏洞 受影响系统: 
RedHat Stronghold 2.3 
描述: 
-------------------------------------------------------------------------------- 
BUGTRAQ  ID: 34606 
CVE(CAN) ID: CVE-2009-1349 

Stronghold是Red Hat公司出品的基于Apache的安全Web服务器。 

Stronghold没有正确地过滤用户所提交的输入,以有效的HTML和Javascript回显URL中所请求的页面,这可能导致跨站脚本安全。 

<*来源:Xia Shing Zee (XiaShing@gmail.com) 
  
  链接:http://marc.info/?l=bugtraq&m=124024624119598&w=2 
*> 

测试方法: 
-------------------------------------------------------------------------------- 

警 告 

以下程序(方法)可能带有安全性,仅供安全研究与教学之用。使用者风险自负! 

http://world.std.com/<script>alert("lol");</script> 
http://world.std.com/<script>window.location="http://www.google.com"</script> 
http://world.std.com/<body bgcolor="black"><font color="green"> 

建议: 
-------------------------------------------------------------------------------- 
厂商补丁: 

RedHat 
------ 
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: 

http://www.redhat.com/apps/support/errata/index.html