Java System Web Server XSS Acıqı !.. - The-Sabotage Cyber Hackers And Security Platform

**s3ssiz** · 06-02-2008, 21:00

Sun Java System Web Server Gelişmiş Aramadaki Girdi Denetim Açığı Cross-Site Scripting (XSS) Saldırılarına İzin Veriyor
Tarih: 25 Mayıs 2008
Etkilenen sürümler: 6.1 SP9’dan önce, 7.0 Update 2 ve öncesi

Tanım: Sun Java System Web Server’ın gelişmiş arama özelliğinde bir vulnerability rapor edildi. Uzak bir kullanıcı XSS saldırıları gerçekleştirebilir.
Gelişmiş arama sayfası kullanıcıdan gelen girdileri göstermeden önce HTML kodlarını tamamen filtre etmiyor. Buda uzak bir kullanıcının hedef kullanıcının tarayıcısında çalıştırılmak üzere keyfi script kodları kullanmasına sebep olabiliyor. Kod Sun Java Sistem Web Server yazılımdan gelecek ve sitenin güvenlik içeriğinde çalışacak. Sonuç olarak, kod hedef kullanıcının cookilerine (authentication cookieleri dahil ), eğer varsa siteyle ilişkili hedef kullanıcının web formlarıyla son eriştiği verilere yada sitede yaptığı işlemlere ulaşabilecek.

Vulnerability ’search/advanced.jsp’ sayfasında bulunuyor.
Çözüm : Sun aşağıdaki yamaları yayınladı.
SPARC Platform
* Sun Java System Web Server 6.1 with Service Pack 9 or later
* Sun Java System Web Server 6.1 with patch 116648-21 or later
* Sun Java System Web Server 7.0 Update 3
x86 Platform
* Sun Java System Web Server 6.1 with Service Pack 9 or later
* Sun Java System Web Server 6.1 with patch 116649-21 or later
* Sun Java System Web Server 7.0 Update 3
Linux
* Sun Java System Web Server 6.1 with Service Pack 9 or later
* Sun Java System Web Server 6.1 with patch 118202-13 or later
* Sun Java System Web Server 7.0 Update 3
Windows
* Sun Java System Web Server 6.1 with Service Pack 9 or later
* Sun Java System Web Server 6.1 with patch 121524-05 or later
* Sun Java System Web Server 7.0 Update 3
HP-UX
* Sun Java System Web Server 6.1 with Service Pack 9 or later
* Sun Java System Web Server 6.1 with patch 121510-05 or later
* Sun Java System Web Server 7.0 Update 3
AIX
* Sun Java System Web Server 6.1 with Service Pack 9 or later
* Sun Java System Web Server 7.0 Update
Sun Java System Web Server 6.1 Service Pack 9 ve Sun Java System Web Server 7.0 Update 3’e buradan erişebilirsiniz. [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...]

NOT: Açığı kullanmak isteyen arkadaşlar googledan "inurl:search/advanced.jsp" diye aratarak ilgili siteleri bulabilirler. Kullanma yöntemini bulmakta size kalmış tabi :)
Selametle

06-02-2008, 21:00	#1 (permalink)
s3ssiz Yarbay Üyelik tarihi: May 2008 Mesajlar: 111	Java System Web Server XSS Acıqı !.. Sun Java System Web Server Gelişmiş Aramadaki Girdi Denetim Açığı Cross-Site Scripting (XSS) Saldırılarına İzin Veriyor Tarih: 25 Mayıs 2008 Etkilenen sürümler: 6.1 SP9’dan önce, 7.0 Update 2 ve öncesi Tanım: Sun Java System Web Server’ın gelişmiş arama özelliğinde bir vulnerability rapor edildi. Uzak bir kullanıcı XSS saldırıları gerçekleştirebilir. Gelişmiş arama sayfası kullanıcıdan gelen girdileri göstermeden önce HTML kodlarını tamamen filtre etmiyor. Buda uzak bir kullanıcının hedef kullanıcının tarayıcısında çalıştırılmak üzere keyfi script kodları kullanmasına sebep olabiliyor. Kod Sun Java Sistem Web Server yazılımdan gelecek ve sitenin güvenlik içeriğinde çalışacak. Sonuç olarak, kod hedef kullanıcının cookilerine (authentication cookieleri dahil ), eğer varsa siteyle ilişkili hedef kullanıcının web formlarıyla son eriştiği verilere yada sitede yaptığı işlemlere ulaşabilecek. Vulnerability ’search/advanced.jsp’ sayfasında bulunuyor. Çözüm : Sun aşağıdaki yamaları yayınladı. SPARC Platform * Sun Java System Web Server 6.1 with Service Pack 9 or later * Sun Java System Web Server 6.1 with patch 116648-21 or later * Sun Java System Web Server 7.0 Update 3 x86 Platform * Sun Java System Web Server 6.1 with Service Pack 9 or later * Sun Java System Web Server 6.1 with patch 116649-21 or later * Sun Java System Web Server 7.0 Update 3 Linux * Sun Java System Web Server 6.1 with Service Pack 9 or later * Sun Java System Web Server 6.1 with patch 118202-13 or later * Sun Java System Web Server 7.0 Update 3 Windows * Sun Java System Web Server 6.1 with Service Pack 9 or later * Sun Java System Web Server 6.1 with patch 121524-05 or later * Sun Java System Web Server 7.0 Update 3 HP-UX * Sun Java System Web Server 6.1 with Service Pack 9 or later * Sun Java System Web Server 6.1 with patch 121510-05 or later * Sun Java System Web Server 7.0 Update 3 AIX * Sun Java System Web Server 6.1 with Service Pack 9 or later * Sun Java System Web Server 7.0 Update Sun Java System Web Server 6.1 Service Pack 9 ve Sun Java System Web Server 7.0 Update 3’e buradan erişebilirsiniz. [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] NOT: Açığı kullanmak isteyen arkadaşlar googledan "inurl:search/advanced.jsp" diye aratarak ilgili siteleri bulabilirler. Kullanma yöntemini bulmakta size kalmış tabi :) Selametle

Seçenekler
Yazdırılabilir şekli göster Sayfayı E-Mail olarak gönder
Stil
Normal Hybrid-Şeklinde gösterime geç Ağaç şeklinde gösterime geç

Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir)