漏洞信息详情
Microsoft ISA服务器HTTP错误处理跨站脚本执行漏洞(MS03-028)
- CNNVD编号:CNNVD-200308-071
- 危害等级: 中危
- CVE编号: CVE-2003-0526
- 漏洞类型: 输入验证
- 发布时间: 2003-07-16
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: microsoft
- 漏洞来源: Microsoft Security...
漏洞简介
Microsoft ISA服务器集成可扩展,多层企业级防火墙,可扩展高性能WEB缓冲服务程序。 Microsoft ISA在错误页面在处理客户端消息时缺少充分过滤,远程攻击者可以利用这个漏洞进行跨站脚本执行攻击,可能窃取用户用于验证的敏感COOKIE信息。 ISA服务器遇到HTTP错误代码如\"404 Not Found\"或者\"500 Internal Server Error\",ISA服务器就会返回HTML形式的错误处理信息,这些HTML文件使用脚本输出链接作为SERVER。TLD的部分URL。通过构建特殊形式的URL可能在HTTP错误处理页面中包含任意脚本命令,当用户访问这些包含恶意脚本的链接时,可导致用户基于验证的Cookie等敏感信息泄露。
漏洞公告
厂商补丁: Microsoft --------- Microsoft已经为此发布了一个安全公告(MS03-028)以及相应补丁:
MS03-028:Flaw in ISA Server Error Pages Could Allow Cross-Site Scripting Attack (Q816456)
链接: http://www.microsoft.com/technet/security/bulletin/MS03-028.asp
补丁下载:
Microsoft ISA Server english:
http://download.microsoft.com/download/4/6/4/464c95cd-8488-410d-bacb-69b25eaa7822/ISA2000-KB816456-x86.exe
Microsoft ISA Server French:
http://download.microsoft.com/download/a/d/6/ad64a2af-d359-44e5-88d9-321269f1afde/ISA2000-KB816456-x86.exe
Microsoft ISA Server German:
http://download.microsoft.com/download/9/f/3/9f39d8a7-4897-43e5-bd90-70cc468139ae/ISA2000-KB816456-x86.exe
Microsoft ISA Server Spanish:
http://download.microsoft.com/download/5/a/a/5aabcffe-e89c-4275-b2ba-64c47e42f078/ISA2000-KB816456-x86.exe
Microsoft ISA Server Japanese:
http://download.microsoft.com/download/1/5/b/15b400a5-5b40-4721-92b0-caef3f190146/ISA2000-KB816456-x86.exe
参考网址
来源: MS 名称: MS03-028 链接:http://www.microsoft.com/technet/security/bulletin/ms03-028.asp 来源: pivx.com 链接:http://pivx.com/larholm/adv/TL006 来源: NTBUGTRAQ 名称: 20030716 Microsoft ISA Server HTTP error handler XSS (TL#007) 链接:http://marc.theaimsgroup.com/?l=ntbugtraq&m=105838590030409&w=2 来源: BUGTRAQ 名称: 20030716 Microsoft ISA Server HTTP error handler XSS (TL#007) 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=105838519729525&w=2 来源: VULNWATCH 名称: 20030716 Microsoft ISA Server HTTP error handler XSS (TL#007) 链接:http://archives.neohapsis.com/archives/vulnwatch/2003-q3/0031.HTML 来源: VULNWATCH 名称: 20030716 ISA Server - Error Page Cross Site Scripting 链接:http://archives.neohapsis.com/archives/vulnwatch/2003-q3/0029.HTML 来源: BUGTRAQ 名称: 20030716 ISA Server - Error Page Cross Site Scripting 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=105838862201266&w=2 来源: US Government Resource: oval:org.mitre.oval:def:117 名称: oval:org.mitre.oval:def:117 链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:117
受影响实体
- Microsoft Isa_server:2000
- Microsoft Isa_server:2000:Fp1
- Microsoft Isa_server:2000:Sp1
补丁
暂无
评论