IBM WebSphere Edge Server Caching Proxy HTTP头信息跨站脚本执行漏洞

漏洞信息详情

IBM WebSphere Edge Server Caching Proxy HTTP头信息跨站脚本执行漏洞

• CNNVD编号：CNNVD-200211-003
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-1168
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-10-23
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  ibm
• 漏洞来源：
  Rapid 7 Security A…

IBM WebSphere Edge Server Caching Proxy是WEB服务器缓冲代理系统。
缓冲代理服务器对用户提交的\’\’Location：\’\’头信息请求缺少正确过滤，远程攻击者可以利用这个漏洞构建恶意WEB页，诱使用户点击，进行跨站脚本执行攻击。
缓冲代理服务器对用户提交的\’\’Location\’\’数据过滤不正确，攻击者可以通过构建HTTP头部\’\’Location\’\’字段中包含任意HTML和脚本代码的链接，诱使目标用户点击链接，就可以导致攻击者提供的脚本代码在客户端浏览器上执行，可窃取基于Cookie认证的信息，也可能获得本地文件内容。

临时解决方法：
* 暂时关闭浏览器的JavaScript功能。
厂商补丁：
IBM
—
IBM需要安装Caching Proxy efix build 4.0.1.26或者更高版本的补丁。Efix可以从IBM的FTP站点中获得。客户也可以联系IBM供应商获得补丁。

http://www.ers.ibm.com/” target=”_blank”>
http://www.ers.ibm.com/

来源: XF
名称: ibm-wte-header-injection(10454)
链接:http://www.iss.net/security_center/static/10454.php

来源: BID
名称: 6001
链接:http://www.securityfocus.com/bid/6001