Sun Java System Web Server 多个HTTP重定向漏洞

漏洞信息详情

Sun Java System Web Server 多个HTTP重定向漏洞

• CNNVD编号：CNNVD-200708-083
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2007-4164
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2007-08-07
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2007-08-07
  
• 厂        商：
  
  sun
• 漏洞来源：
  The vendor disclos…

Sun Java System Web Server20070802 版本之前的6.1和7.0版本的重定向属性中存在CRLF 注入漏洞,当重定向服务器应用程序函数(SAF)运行url-prefix参数以及escape被禁用时, 或一个错误指令运行obj.conf中的url-prefix参数时，远程攻击者注入任意HTTP页眉并执行HTTP响应分裂攻击。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

Sun Java System Web Server 7.0

Sun Sun Java System Web Server 7.0 Update 1

http://www.sun.com/download/products.xml?id=467713d6

Sun Java System Web Server 6.1 SP7

Sun Sun Java System Web Server 6.1 SP8

http://www.sun.com/download/products.xml?id=4694392a

来源: BID

名称: 25190

链接:http://www.securityfocus.com/bid/25190

来源: VUPEN

名称: ADV-2007-2766

链接:http://www.frsirt.com/english/advisories/2007/2766

来源: XF

名称: sun-redirect-response-splitting(35783)

链接:http://xforce.iss.net/xforce/xfdb/35783

来源: SECTRACK

名称: 1018504

链接:http://www.securitytracker.com/id?1018504

来源: SUNALERT

名称: 103003

链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-103003-1

来源: SECUNIA

名称: 26326

链接:http://secunia.com/advisories/26326