漏洞信息详情

Sun Java System Web Server 多个HTTP重定向漏洞

• CNNVD编号：CNNVD-200708-083
• 危害等级： 中危
  
• CVE编号： CVE-2007-4164
• 漏洞类型： 输入验证
• 发布时间： 2007-08-07
• 威胁类型： 远程
• 更新时间： 2007-08-07
• 厂        商： sun
• 漏洞来源： The vendor disclos...

漏洞简介

Sun Java System Web Server20070802 版本之前的6.1和7.0版本的重定向属性中存在CRLF 注入漏洞,当重定向服务器应用程序函数(SAF)运行url-prefix参数以及escape被禁用时, 或一个错误指令运行obj.conf中的url-prefix参数时，远程攻击者注入任意HTTP页眉并执行HTTP响应分裂攻击。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

Sun Java System Web Server 7.0

Sun Sun Java System Web Server 7.0 Update 1

http://www.sun.com/download/products.xml?id=467713d6

Sun Java System Web Server 6.1 SP7

Sun Sun Java System Web Server 6.1 SP8

http://www.sun.com/download/products.xml?id=4694392a

参考网址

来源: BID

名称: 25190

链接:http://www.securityfocus.com/bid/25190

来源: VUPEN

名称: ADV-2007-2766

链接:http://www.frsirt.com/english/advisories/2007/2766

来源: XF

名称: sun-redirect-response-splitting(35783)

链接:http://xforce.iss.net/xforce/xfdb/35783

来源: SECTRACK

名称: 1018504

链接:http://www.securitytracker.com/id?1018504

来源: SUNALERT

名称: 103003

链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-103003-1

来源: SECUNIA

名称: 26326

链接:http://secunia.com/advisories/26326

受影响实体

• Sun Java_system_web_server:6.1:Sp4  
• Sun Java_system_web_server:6.1:Sp3  
• Sun Java_system_web_server:6.1:Sp2  
• Sun Java_system_web_server:6.1:Sp1  
• Sun Java_system_web_server:6.1  

补丁

暂无