Techno Dreams Guest Book Comment Field 跨站脚本攻击(XSS)漏洞

漏洞信息详情

Techno Dreams Guest Book Comment Field 跨站脚本攻击(XSS)漏洞

• CNNVD编号：CNNVD-200606-156
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2006-2837
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2006-06-06
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-11-03
  
• 厂        商：
  
  techno_dreams
• 漏洞来源：
  Omnipresent is cre…

Techno Dreams Guest Book存在跨站脚本攻击(XSS)漏洞，远程攻击者可通过在\”注册我们的留言簿\”页的特定评论字段(可能是传给guestbookadd.asp的x_Comments参数)来注入任意Web脚本或HTML。

补丁安装方法：

1. 手工安装补丁包：

首先，使用下面的命令来下载补丁软件：

# wget url(url是补丁下载链接地址)

然后，使用下面的命令来安装补丁：

# dpkg -i file.deb (file是相应的补丁名)

2. 使用apt-get自动安装补丁包：

首先，使用下面的命令更新内部数据库：

# apt-get update

然后，使用下面的命令安装更新软件包：

# apt-get upgrade

RedHat

——

http://www.debian.org/security/2006/dsa-1090

Gentoo

——

Gentoo已经为此发布了一个安全公告(GLSA-200606-09)以及相应补丁:

GLSA-200606-09：SpamAssassin: Execution of arbitrary code

链接：

http://security.gentoo.org/glsa/glsa-200606-09.xml

所有SpamAssassin用户都应升级到最新版本:

# emerge –sync

# emerge –ask –oneshot –verbose “>=mail-filter/spamassassin-3.1.3”

SpamAssassin

————

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

* SpamAssassin Mail-SpamAssassin-3.0.6.tar.gz

http://apache.mirror.rafal.ca/spamassassin/source/Mail-SpamAssassin-3.0.6.tar.gz

* SpamAssassin Mail-SpamAssassin-3.1.3.tar.gz

http://apache.mirror.rafal.ca/spamassassin/source/Mail-SpamAssassin-3.1.3.tar.gz

来源: VUPEN

名称: ADV-2006-2079

链接:http://www.frsirt.com/english/advisories/2006/2079

来源: SECUNIA

名称: 20403

链接:http://secunia.com/advisories/20403

来源: MISC

链接:http://colander.altervista.org/advisory/TDGuestBook.txt

来源: BID

名称: 18210

链接:http://www.securityfocus.com/bid/18210