漏洞信息详情
ASPScriptz Guest Book submit.asp 多个跨站脚本攻击(XSS)漏洞
- CNNVD编号:CNNVD-200606-169
- 危害等级: 低危
- CVE编号: CVE-2006-2882
- 漏洞类型: 跨站脚本
- 发布时间: 2006-06-07
- 威胁类型: 远程
- 更新时间: 2006-10-30
- 厂 商: aspscriptz
- 漏洞来源: omnipresent is cre...
漏洞简介
ASPScriptz Guest Book 2.0及更早版本中的submit.asp存在多个跨站脚本攻击(XSS)漏洞,远程攻击者可通过(1)GBOOK_UNAME,(2)GBOOK_EMAIL,(3)GBOOK_CITY,(4)GBOOK_COU,(5)GBOOK_WWW和(6)GBOOK_MESS表单字段来注入任意webJ脚本或HTML。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
"目前我们尚不清楚是否有任何厂商提供针对这一问题的修补程序。如果您发现我们信息有误或者了解更新的信息,请给我们发邮件:[email protected]。临时解决方法:
* 删除栈大小限制
* 限制消息大小
* 如下配置MTA防止负面影响:
1 禁止core dump
2 允许ForkEachJob选项较低的队列运行性能和较高的进程数
3 将QueueSortOrder设置为随机
厂商补丁:
FreeBSD
-------
FreeBSD已经为此发布了一个安全公告(FreeBSD-SA-06:17)以及相应补丁:
FreeBSD-SA-06:17:Incorrect multipart message handling in Sendmail
链接:ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:17.sendmail.asc
HP
--
HP已经为此发布了一个安全公告(HPSBTU02116)以及相应补丁:
HPSBTU02116:SSRT061135 rev.1 - HP Tru64 UNIX and HP Internet Express for Tru64 UNIX Running sendmail, Remote Execution of Arbitrary Code or Denial of Service (DoS)
链接:
http://www1.itrc.hp.com/service/cki/docDisplay.do?docId=c00692635&hpweb_printable=true
RedHat
------
RedHat已经为此发布了一个安全公告(RHSA-2006:0515-01)以及相应补丁:
RHSA-2006:0515-01:Important: sendmail security update
链接:
http://lwn.net/Alerts/187986/
Sendmail Consortium
-------------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.13.7.tar.gz
SGI
---
SGI已经为此发布了一个安全公告(20060602-01-U)以及相应补丁:
20060602-01-U:SGI Advanced Linux Environment 3 Security Update #59
链接:ftp://patches.sgi.com/support/free/security/advisories/20060602-01-U.asc
Sun
---
Sun已经为此发布了一个安全公告(Sun-Alert-102460)以及相应补丁:
Sun-Alert-102460:A Security Vulnerability in sendmail(1M) Versions Prior to 8.13.7 May Allow a Denial of Service (DoS) To Occur
链接:
http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102460-1
Gentoo
------
Gentoo已经为此发布了一个安全公告(GLSA-200606-19)以及相应补丁:
GLSA-200606-19:Sendmail: Denial of Service
链接:
http://security.gentoo.org/glsa/glsa-200606-19.xml
参考网址
来源: BID
名称: 18285
链接:http://www.securityfocus.com/bid/18285
来源: BUGTRAQ
名称: 20060605 ASPScriptz Guest Book 2.0 XSS
链接:http://www.securityfocus.com/archive/1/archive/1/436028/100/0/threaded
来源: VUPEN
名称: ADV-2006-2150
链接:http://www.frsirt.com/english/advisories/2006/2150
来源: SECUNIA
名称: 20416
链接:http://secunia.com/advisories/20416
来源: MISC
链接:http://colander.altervista.org/advisory/ASzGB.txt
来源: XF
名称: aspscriptzgb-submit-xss(26944)
链接:http://xforce.iss.net/xforce/xfdb/26944
来源: SREASON
名称: 1056
链接:http://securityreason.com/securityalert/1056
受影响实体
- Aspscriptz Aspscriptz_guest_book:2.0
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论