Bradford Barrett Webalizer 跨站脚本执行漏洞

漏洞信息详情

Bradford Barrett Webalizer 跨站脚本执行漏洞

• CNNVD编号：CNNVD-200112-019
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2001-0835
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2001-10-24
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  bradford_barrett
• 漏洞来源：

CVE(CAN) ID： CAN-2001-0835

Webalizer 是一款Web服务器日志程序，用来生成Web站点统计日志文件。日志一般包括

来源，浏览器类型，站点点击率和文件访问等信息，这些日志文件是HTML格式的，可以

通过浏览器查看。但是该程序被发现存在跨站脚本执行漏洞。

由于没有过滤HTML标记，通过在\”REFERER\”域精心构造一个包含HTML标记的字符串，

可能导致使用浏览器浏览日志的管理员遭受跨站脚本执行攻击。

临时解决方法：

如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 使用文本浏览器查看日志

厂商补丁：

目前厂商已经发布了补丁程序以修复这个问题，请到厂商的主页下载：

Bradford Barrett Webalizer 2.0.1-06:

ftp://ftp.mrunix.net/pub/webalizer/sec-fix.patch

来源: BID
名称: 3473
链接:http://www.securityfocus.com/bid/3473

来源: REDHAT
名称: RHSA-2001:141
链接:http://www.redhat.com/support/errata/RHSA-2001-141.html

来源: www.mrunix.net
链接:http://www.mrunix.net/webalizer/news.html

来源: BUGTRAQ
名称: 20011024 Cross-site Scripting Flaw in webalizer
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=100394630702875&w=2

来源: SUSE
名称: SuSE-SA:2001:040
链接:http://lists.suse.com/archives/suse-security-announce/2001-Nov/0001.html

来源: XF
名称: webalizer-html-tags-keywords(7351)
链接:http://xforce.iss.net/static/7351.php

来源: XF
名称: webalizer-html-tag-host(7350)
链接:http://xforce.iss.net/static/7350.php

来源: REDHAT
名称: RHSA-2001:140
链接:http://www.redhat.com/support/errata/RHSA-2001-140.html

来源: ENGARDE
名称: ESA-20011101-01
链接:http://www.linuxsecurity.com/advisories/other_advisory-1677.html