漏洞信息详情
Apache Tomcat Host Manager Servlet跨站脚本执行漏洞
- CNNVD编号:CNNVD-200708-229
- 危害等级: 中危
- CVE编号: CVE-2007-3386
- 漏洞类型: 跨站脚本
- 发布时间: 2007-08-14
- 威胁类型: 远程
- 更新时间: 2009-02-20
- 厂 商: apache
- 漏洞来源: NTT OSS CENTER
漏洞简介
Apache Tomcat是一个流行的开放源码的jsP应用服务器程序。
Apache Tomcat实现上存在输入验证漏洞,远程攻击者可能利用引漏洞导致跨站脚本执行。
Apache Tomcat的Host Manager Servlet没有正确地过滤用户输入,如果用户向服务器提交了恶意请求的话就可以执行跨站脚本攻击,导致注入并执行任意HTML和Web脚本。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://apache.mirror.rafal.ca/tomcat/tomcat-6/v6.0.14/bin/apache-tomcat-6.0.14.tar.gz
参考网址
来源: BUGTRAQ
名称: 20070814 CVE-2007-3386: XSS in Host Manager
链接:http://www.securityfocus.com/archive/1/archive/1/476448/100/0/threaded
来源: tomcat.apache.org
链接:http://tomcat.apache.org/security-6.HTML
来源: FEDORA
名称: FEDORA-2007-3456
链接:https://www.redhat.com/archives/fedora-package-announce/2007-November/msg00525.HTML
来源: XF
名称: tomcat-hostmanager-alias-xss(36001)
链接:http://xforce.iss.net/xforce/xfdb/36001
来源: BID
名称: 25314
链接:http://www.securityfocus.com/bid/25314
来源: BUGTRAQ
名称: 20090127 CA20090123-01: Cohesion Tomcat Multiple Vulnerabilities (Updated - v1.1)
链接:http://www.securityfocus.com/archive/1/archive/1/500412/100/0/threaded
来源: BUGTRAQ
名称: 20090124 CA20090123-01: Cohesion Tomcat Multiple Vulnerabilities
链接:http://www.securityfocus.com/archive/1/archive/1/500396/100/0/threaded
来源: REDHAT
名称: RHSA-2007:0871
链接:http://www.redhat.com/support/errata/RHSA-2007-0871.HTML
来源: VUPEN
名称: ADV-2009-0233
链接:http://www.frsirt.com/english/advisories/2009/0233
来源: VUPEN
名称: ADV-2007-3527
链接:http://www.frsirt.com/english/advisories/2007/3527
来源: VUPEN
名称: ADV-2007-3386
链接:http://www.frsirt.com/english/advisories/2007/3386
来源: VUPEN
名称: ADV-2007-2880
链接:http://www.frsirt.com/english/advisories/2007/2880
来源: support.ca.com
链接:http://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID=197540
来源: SECTRACK
名称: 1018558
链接:http://securitytracker.com/id?1018558
来源: SREASON
名称: 3010
链接:http://securityreason.com/securityalert/3010
来源: SECUNIA
名称: 33668
链接:http://secunia.com/advisories/33668
来源: SECUNIA
名称: 27727
链接:http://secunia.com/advisories/27727
来源: SECUNIA
名称: 27267
链接:http://secunia.com/advisories/27267
来源: SECUNIA
名称: 27037
链接:http://secunia.com/advisories/27037
来源: SECUNIA
名称: 26898
链接:http://secunia.com/advisories/26898
来源: SECUNIA
名称: 26465
链接:http://secunia.com/advisories/26465
来源: OSVDB
名称: 36417
链接:http://osvdb.org/36417
来源: SUSE
名称: SUSE-SR:2009:004
链接:http://lists.opensuse.org/opensuse-security-announce/2009-02/msg00002.HTML
来源: JVN
名称: JVN#59851336
链接:http://jvn.jp/jp/JVN%2359851336/index.HTML
来源: HP
名称: SSRT071472
链接:http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01192554
来源: HP
名称: HPSBUX02262
链接:http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01178795
来源: community.ca.com
链接:http://community.ca.com/blogs/casecurityresponseblog/archive/2009/01/23.aspx
来源: MANDRIVA
名称: MDKSA-2007:241
链接:http://www.mandriva.com/security/advisories?name=MDKSA-2007:241
来源: DEBIAN
名称: DSA-1447
链接:http://www.debian.org/security/2008/dsa-1447
来源: SECUNIA
名称: 28317
链接:http://secunia.com/advisories/28317
受影响实体
- Apache Tomcat:5.5.0
- Apache Tomcat:5.5.1
- Apache Tomcat:5.5.2
- Apache Tomcat:5.5.3
- Apache Tomcat:5.5.4
补丁
暂无
评论