Oracle GlassFish Enterprise Server多个输入验证远程漏洞(CVE-
diyyong 2011-07-26
发布日期:2011-07-20
更新日期:2011-07-20
受影响系统:
Oracle Sun Glassfish Enterprise Server 2.1.1
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 48797
CVE ID: CVE-2011-2260
Sun GlassFish 产品组合是功能最全、成本效益最高的开放性Web 应用程序平台。
Oracle GlassFish Enterprise Server在实现上存在多个输入验证漏洞,远程攻击者可利用这些漏洞允许在受影响浏览器中运行攻击者提供的HTML和脚本代码,窃取cookie身份验证配置或控制网站外观。
1)通过"windowTitle"和"helpFile"参数发送到help/helpwindow.jsf的输入在返回给用户之前没有正确过滤。
2)在登录到Administration组件时,通过 login字段发送的输入没有在呈现给用户之前正确过滤。
<*来源:Sense of Security Labs
链接:http://secunia.com/advisories/45202/
http://www.oracle.com/technetwork/topics/security/cpujuly2011-313328.html
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Oracle
------
Oracle已经为此发布了一个安全公告(cpujuly2011-313328)以及相应补丁:
cpujuly2011-313328:Oracle Critical Patch Update Advisory - July 2011
链接:http://www.oracle.com/technetwork/topics/security/cpujuly2011-313328.html
