漏洞信息详情
Apache Geronimo应用服务器多个输入验证漏洞
- CNNVD编号:CNNVD-200904-351
- 危害等级: 中危
- CVE编号: CVE-2009-0038
- 漏洞类型: 跨站脚本
- 发布时间: 2009-04-17
- 威胁类型: 远程
- 更新时间: 2009-04-28
- 厂 商: apache
- 漏洞来源: Digital Security R...
漏洞简介
Apache Geronimo是美国阿帕奇(Apache)软件基金会的一款开源的J2EE服务器产品,该产品具有可伸缩性、可进行配置管理等特点。
Apache Geronimoweb管理控制台的/console/portal/Server/Monitoring脚本没有正确的验证用户请求中的name、ip、username、description等参数,远程攻击者可以通过提交恶意请求执行跨站脚本或跨站请求伪造攻击;此外/console/portal//Services/Repository脚本没有正确地验证group、artifact、version、fileType参数,/console/portal/Embedded DB/DB Manager脚本没有正确验证createDB参数,/console/portal//Security/Keystores/__pm0x3console-base0x2Keystores!824133314|0_view/__rp0x3console-base0x2Keystores!824133314|0_mode/createKeystore脚本没有正确验证filename参数,允许远程攻击者执行目录遍历攻击。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://geronimo.apache.org/downloads.HTML
参考网址
来源: issues.apache.org
链接:http://issues.apache.org/jira/browse/GERONIMO-4597
来源: geronimo.apache.org
链接:http://geronimo.apache.org/21x-security-report.HTML#2.1.xSecurityReport-214
来源: VUPEN
名称: ADV-2009-1089
链接:http://www.vupen.com/english/advisories/2009/1089
来源: BID
名称: 34562
链接:http://www.securityfocus.com/bid/34562
来源: BUGTRAQ
名称: 20090416 [DSECRG-09-019] Apache Geronimo - XSS vulnerabilities.txt
链接:http://www.securityfocus.com/archive/1/archive/1/502734/100/0/threaded
来源: SECUNIA
名称: 34715
链接:http://secunia.com/advisories/34715
来源: MISC
链接:http://dsecrg.com/pages/vul/show.php?id=119
受影响实体
- Apache Geronimo:2.1
- Apache Geronimo:2.1.3
- Apache Geronimo:2.1.1
- Apache Geronimo:2.1.2
补丁
暂无
评论