VULHUB ™

BUGTRAQ ID: 29355 Sun Java System Web Server是高性能的WEB服务器。 Sun Java系统Web服务器的高级搜素机制没有正确地过滤某些用户输入，远程非特权可以通过提交恶意搜索请求执行跨站脚本攻击，导致用户在客户端的web浏览器中执行任意JavaScript命令，这可能允许远程用户窃取cookie信息、劫持会话或导致损失数据保密性。 Sun Java System Web Server 7.0 Update 2 Sun Java System Web Server 7.0 Update 1 Sun Java System Web Server 7.0 Sun Java System Web Server 6.1 临时解决方法： * 编辑以下文件： &lt;install root&gt;/bin/https/webapps/search/advanced.jsp 删除以下行： &lt;input type=hidden name=&quot;next&quot; value=&quot;&lt;%=rquest.getParameter(&quot;next&quot;)%&gt;&quot;&gt; &quot;out.println(s);&quot; 厂商补丁： Sun --- Sun已经为此发布了一个安全公告（Sun-Alert-236481）以及相应补丁: Sun-Alert-236481：Cross-Site Scripting Vulnerability in the Sun Java System Web Server Advanced Search Mechanism 链接：<a href=http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-236481-1 target=_blank>http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-236481-1</a>

BUGTRAQ ID: 29355 Sun Java System Web Server是高性能的WEB服务器。 Sun Java系统Web服务器的高级搜素机制没有正确地过滤某些用户输入，远程非特权可以通过提交恶意搜索请求执行跨站脚本攻击，导致用户在客户端的web浏览器中执行任意JavaScript命令，这可能允许远程用户窃取cookie信息、劫持会话或导致损失数据保密性。 Sun Java System Web Server 7.0 Update 2 Sun Java System Web Server 7.0 Update 1 Sun Java System Web Server 7.0 Sun Java System Web Server 6.1 临时解决方法： * 编辑以下文件： &lt;install root&gt;/bin/https/webapps/search/advanced.jsp 删除以下行： &lt;input type=hidden name=&quot;next&quot; value=&quot;&lt;%=rquest.getParameter(&quot;next&quot;)%&gt;&quot;&gt; &quot;out.println(s);&quot; 厂商补丁： Sun --- Sun已经为此发布了一个安全公告（Sun-Alert-236481）以及相应补丁: Sun-Alert-236481：Cross-Site Scripting Vulnerability in the Sun Java System Web Server Advanced Search Mechanism 链接：<a href=http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-236481-1 target=_blank>http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-236481-1</a>