漏洞信息详情

ASPScriptz Guest Book submit.asp 多个跨站脚本攻击(XSS)漏洞

• CNNVD编号：CNNVD-200606-169
• 危害等级： 低危
  
• CVE编号： CVE-2006-2882
• 漏洞类型： 跨站脚本
• 发布时间： 2006-06-07
• 威胁类型： 远程
• 更新时间： 2006-10-30
• 厂        商： aspscriptz
• 漏洞来源： omnipresent is cre...

漏洞简介

ASPScriptz Guest Book 2.0及更早版本中的submit.asp存在多个跨站脚本攻击(XSS)漏洞，远程攻击者可通过(1)GBOOK_UNAME，(2)GBOOK_EMAIL，(3)GBOOK_CITY，(4)GBOOK_COU，(5)GBOOK_WWW和(6)GBOOK_MESS表单字段来注入任意webJ脚本或HTML。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

"目前我们尚不清楚是否有任何厂商提供针对这一问题的修补程序。如果您发现我们信息有误或者了解更新的信息，请给我们发邮件：[email protected]。临时解决方法：

* 删除栈大小限制

* 限制消息大小

* 如下配置MTA防止负面影响：

1 禁止core dump

2 允许ForkEachJob选项较低的队列运行性能和较高的进程数

3 将QueueSortOrder设置为随机

厂商补丁：

FreeBSD

-------

FreeBSD已经为此发布了一个安全公告(FreeBSD-SA-06:17)以及相应补丁:

FreeBSD-SA-06:17：Incorrect multipart message handling in Sendmail

链接：ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:17.sendmail.asc

HP

--

HP已经为此发布了一个安全公告(HPSBTU02116)以及相应补丁:

HPSBTU02116：SSRT061135 rev.1 - HP Tru64 UNIX and HP Internet Express for Tru64 UNIX Running sendmail, Remote Execution of Arbitrary Code or Denial of Service (DoS)

链接：

http://www1.itrc.hp.com/service/cki/docDisplay.do?docId=c00692635&hpweb_printable=true

RedHat

------

RedHat已经为此发布了一个安全公告(RHSA-2006:0515-01)以及相应补丁:

RHSA-2006:0515-01：Important: sendmail security update

链接：

http://lwn.net/Alerts/187986/

Sendmail Consortium

-------------------

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.13.7.tar.gz

SGI

---

SGI已经为此发布了一个安全公告(20060602-01-U)以及相应补丁:

20060602-01-U：SGI Advanced Linux Environment 3 Security Update #59

链接：ftp://patches.sgi.com/support/free/security/advisories/20060602-01-U.asc

Sun

---

Sun已经为此发布了一个安全公告(Sun-Alert-102460)以及相应补丁:

Sun-Alert-102460：A Security Vulnerability in sendmail(1M) Versions Prior to 8.13.7 May Allow a Denial of Service (DoS) To Occur

链接：

http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102460-1

Gentoo

------

Gentoo已经为此发布了一个安全公告(GLSA-200606-19)以及相应补丁:

GLSA-200606-19：Sendmail: Denial of Service

链接：

http://security.gentoo.org/glsa/glsa-200606-19.xml

参考网址

来源: BID

名称: 18285

链接:http://www.securityfocus.com/bid/18285

来源: BUGTRAQ

名称: 20060605 ASPScriptz Guest Book 2.0 XSS

链接:http://www.securityfocus.com/archive/1/archive/1/436028/100/0/threaded

来源: VUPEN

名称: ADV-2006-2150

链接:http://www.frsirt.com/english/advisories/2006/2150

来源: SECUNIA

名称: 20416

链接:http://secunia.com/advisories/20416

来源: MISC

链接:http://colander.altervista.org/advisory/ASzGB.txt

来源: XF

名称: aspscriptzgb-submit-xss(26944)

链接:http://xforce.iss.net/xforce/xfdb/26944

来源: SREASON

名称: 1056

链接:http://securityreason.com/securityalert/1056

受影响实体

• Aspscriptz Aspscriptz_guest_book:2.0  

补丁

暂无