Microsoft ISA服务器HTTP错误处理跨站脚本执行漏洞(MS03-028)

漏洞信息详情

Microsoft ISA服务器HTTP错误处理跨站脚本执行漏洞(MS03-028)

• CNNVD编号：CNNVD-200308-071
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2003-0526
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2003-07-16
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  Microsoft Security…

Microsoft ISA服务器集成可扩展，多层企业级防火墙，可扩展高性能WEB缓冲服务程序。
Microsoft ISA在错误页面在处理客户端消息时缺少充分过滤，远程攻击者可以利用这个漏洞进行跨站脚本执行攻击，可能窃取用户用于验证的敏感COOKIE信息。
ISA服务器遇到HTTP错误代码如\”404 Not Found\”或者\”500 Internal Server Error\”，ISA服务器就会返回HTML形式的错误处理信息，这些HTML文件使用脚本输出链接作为SERVER。TLD的部分URL。通过构建特殊形式的URL可能在HTTP错误处理页面中包含任意脚本命令，当用户访问这些包含恶意脚本的链接时，可导致用户基于验证的Cookie等敏感信息泄露。

厂商补丁：
Microsoft
———
Microsoft已经为此发布了一个安全公告(MS03-028)以及相应补丁:

MS03-028：Flaw in ISA Server Error Pages Could Allow Cross-Site Scripting Attack (Q816456)

链接：http://www.microsoft.com/technet/security/bulletin/MS03-028.asp” target=”_blank”>
http://www.microsoft.com/technet/security/bulletin/MS03-028.asp

补丁下载：

Microsoft ISA Server english:

http://download.microsoft.com/download/4/6/4/464c95cd-8488-410d-bacb-69b25eaa7822/ISA2000-KB816456-x86.exe” target=”_blank”>
http://download.microsoft.com/download/4/6/4/464c95cd-8488-410d-bacb-69b25eaa7822/ISA2000-KB816456-x86.exe

Microsoft ISA Server French:

http://download.microsoft.com/download/a/d/6/ad64a2af-d359-44e5-88d9-321269f1afde/ISA2000-KB816456-x86.exe” target=”_blank”>
http://download.microsoft.com/download/a/d/6/ad64a2af-d359-44e5-88d9-321269f1afde/ISA2000-KB816456-x86.exe

Microsoft ISA Server German:

http://download.microsoft.com/download/9/f/3/9f39d8a7-4897-43e5-bd90-70cc468139ae/ISA2000-KB816456-x86.exe” target=”_blank”>
http://download.microsoft.com/download/9/f/3/9f39d8a7-4897-43e5-bd90-70cc468139ae/ISA2000-KB816456-x86.exe

Microsoft ISA Server Spanish:

http://download.microsoft.com/download/5/a/a/5aabcffe-e89c-4275-b2ba-64c47e42f078/ISA2000-KB816456-x86.exe” target=”_blank”>
http://download.microsoft.com/download/5/a/a/5aabcffe-e89c-4275-b2ba-64c47e42f078/ISA2000-KB816456-x86.exe

Microsoft ISA Server Japanese:

http://download.microsoft.com/download/1/5/b/15b400a5-5b40-4721-92b0-caef3f190146/ISA2000-KB816456-x86.exe” target=”_blank”>
http://download.microsoft.com/download/1/5/b/15b400a5-5b40-4721-92b0-caef3f190146/ISA2000-KB816456-x86.exe

来源: MS
名称: MS03-028
链接:http://www.microsoft.com/technet/security/bulletin/ms03-028.asp

来源: pivx.com
链接:http://pivx.com/larholm/adv/TL006

来源: NTBUGTRAQ
名称: 20030716 Microsoft ISA Server HTTP error handler XSS (TL#007)
链接:http://marc.theaimsgroup.com/?l=ntbugtraq&m=105838590030409&w=2

来源: BUGTRAQ
名称: 20030716 Microsoft ISA Server HTTP error handler XSS (TL#007)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=105838519729525&w=2

来源: VULNWATCH
名称: 20030716 Microsoft ISA Server HTTP error handler XSS (TL#007)
链接:http://archives.neohapsis.com/archives/vulnwatch/2003-q3/0031.html

来源: VULNWATCH
名称: 20030716 ISA Server – Error Page Cross Site Scripting
链接:http://archives.neohapsis.com/archives/vulnwatch/2003-q3/0029.html

来源: BUGTRAQ
名称: 20030716 ISA Server – Error Page Cross Site Scripting
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=105838862201266&w=2

来源: US Government Resource: oval:org.mitre.oval:def:117
名称: oval:org.mitre.oval:def:117
链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:117