Microsoft ISA服务器HTTP错误处理跨站脚本执行漏洞(MS03-028)

admin
admin
admin
0
文章
0
评论
2022-07-22 11:09:51 CNNVD漏洞 来源:ZONE.CI 全球网 0 阅读模式

漏洞信息详情

Microsoft ISA服务器HTTP错误处理跨站脚本执行漏洞(MS03-028)

  • CNNVD编号:CNNVD-200308-071
  • 危害等级: 中危
  • CVE编号: CVE-2003-0526
  • 漏洞类型: 输入验证
  • 发布时间: 2003-07-16
  • 威胁类型: 远程
  • 更新时间: 2005-10-20
  • 厂        商: microsoft
  • 漏洞来源: Microsoft Security...

漏洞简介

Microsoft ISA服务器集成可扩展,多层企业级防火墙,可扩展高性能WEB缓冲服务程序。 Microsoft ISA在错误页面在处理客户端消息时缺少充分过滤,远程攻击者可以利用这个漏洞进行跨站脚本执行攻击,可能窃取用户用于验证的敏感COOKIE信息。 ISA服务器遇到HTTP错误代码如\"404 Not Found\"或者\"500 Internal Server Error\",ISA服务器就会返回HTML形式的错误处理信息,这些HTML文件使用脚本输出链接作为SERVER。TLD的部分URL。通过构建特殊形式的URL可能在HTTP错误处理页面中包含任意脚本命令,当用户访问这些包含恶意脚本的链接时,可导致用户基于验证的Cookie等敏感信息泄露。

漏洞公告

厂商补丁: Microsoft --------- Microsoft已经为此发布了一个安全公告(MS03-028)以及相应补丁:

MS03-028:Flaw in ISA Server Error Pages Could Allow Cross-Site Scripting Attack (Q816456)

链接: http://www.microsoft.com/technet/security/bulletin/MS03-028.asp

补丁下载:

Microsoft ISA Server english:

http://download.microsoft.com/download/4/6/4/464c95cd-8488-410d-bacb-69b25eaa7822/ISA2000-KB816456-x86.exe

Microsoft ISA Server French:

http://download.microsoft.com/download/a/d/6/ad64a2af-d359-44e5-88d9-321269f1afde/ISA2000-KB816456-x86.exe

Microsoft ISA Server German:

http://download.microsoft.com/download/9/f/3/9f39d8a7-4897-43e5-bd90-70cc468139ae/ISA2000-KB816456-x86.exe

Microsoft ISA Server Spanish:

http://download.microsoft.com/download/5/a/a/5aabcffe-e89c-4275-b2ba-64c47e42f078/ISA2000-KB816456-x86.exe

Microsoft ISA Server Japanese:

http://download.microsoft.com/download/1/5/b/15b400a5-5b40-4721-92b0-caef3f190146/ISA2000-KB816456-x86.exe

参考网址

来源: MS 名称: MS03-028 链接:http://www.microsoft.com/technet/security/bulletin/ms03-028.asp 来源: pivx.com 链接:http://pivx.com/larholm/adv/TL006 来源: NTBUGTRAQ 名称: 20030716 Microsoft ISA Server HTTP error handler XSS (TL#007) 链接:http://marc.theaimsgroup.com/?l=ntbugtraq&m=105838590030409&w=2 来源: BUGTRAQ 名称: 20030716 Microsoft ISA Server HTTP error handler XSS (TL#007) 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=105838519729525&w=2 来源: VULNWATCH 名称: 20030716 Microsoft ISA Server HTTP error handler XSS (TL#007) 链接:http://archives.neohapsis.com/archives/vulnwatch/2003-q3/0031.HTML 来源: VULNWATCH 名称: 20030716 ISA Server - Error Page Cross Site Scripting 链接:http://archives.neohapsis.com/archives/vulnwatch/2003-q3/0029.HTML 来源: BUGTRAQ 名称: 20030716 ISA Server - Error Page Cross Site Scripting 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=105838862201266&w=2 来源: US Government Resource: oval:org.mitre.oval:def:117 名称: oval:org.mitre.oval:def:117 链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:117

受影响实体

  • Microsoft Isa_server:2000  
  • Microsoft Isa_server:2000:Fp1  
  • Microsoft Isa_server:2000:Sp1  

补丁

    暂无

weinxin
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
咨询加Q:999999999
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 安全领域涉猎者-乌云独行地带
获取本源码
售前咨询加Q:120433200
站媒体网仿《知更鸟》模板
获取本源码 zmt6.com
评论:0   参与:  0