Vignette StoryServer堆栈内存信息泄露漏洞

漏洞信息详情

Vignette StoryServer堆栈内存信息泄露漏洞

• CNNVD编号：CNNVD-200406-022
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0385
  
• 漏洞类型：
  
  
  其他
  
• 发布时间：
  
  2003-04-07
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-04-07
  
• 厂        商：
  
  vignette
• 漏洞来源：
  @stake advisories※…

Vignette\’\’s Story服务程序是一款服务于Vignette内存管理应用程序的WEB接口。允许动态和静态发布内容。动态页面使用TCL解析器建立。
Vignette\’\’s WEB服务程序使用的TCP解析器在当生成动态页面时存在漏洞，远程攻击者可以利用这个漏洞获得其他用户的会话信息，服务端代码和其他敏感信息。
Vignette支持通过内容管理系统发布动态内容，允许使用TCL代码与数据库交互，Cookie等其他信息。当请求接收到用户请求需要生成动态页面的时候，如果提交的请求包含大量\”和＞字符，那么在TCL解析器处理时就会崩溃，并返回给用户时间段堆栈中的用户数据信息，包括其他用户的会话信息，服务端代码和其他敏感信息。

厂商补丁：
Vignette
——–
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.vignette.com/” target=”_blank”>
http://www.vignette.com/

来源: XF
名称: storyserver-tcl-information-disclosure(11725)
链接:http://xforce.iss.net/xforce/xfdb/11725

来源: BID
名称: 7296
链接:http://www.securityfocus.com/bid/7296

来源: ATSTAKE
名称: A040703-1
链接:http://www.atstake.com/research/advisories/2003/a040703-1.txt