漏洞信息详情
Google搜索工具信息泄漏及任意代码执行漏洞
- CNNVD编号:CNNVD-200511-320
- 危害等级: 高危
- CVE编号: CVE-2005-3757
- 漏洞类型: 设计错误
- 发布时间: 2005-11-22
- 威胁类型: 远程
- 更新时间: 2005-11-29
- 厂 商: Google
- 漏洞来源: H D Moore hdm@met...
漏洞简介
Google搜索工具是一款大型的企业级硬件搜索工具。
Google Mini 搜索工具(可能也包括Google 搜索工具)中的Saxon XSLT解析器,允许远程攻击者通过危险的XSLT类型表格的标签值属性中的java类方式,诸如 (1) system-property, (2) sys:getProperty, 和 (3) run:exec,来获得敏感信息和执行任意的代码。
漏洞公告
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.Google.com/enterprise/gsa/index.HTML
参考网址
来源: BID
名称: 15509
链接:http://www.securityfocus.com/bid/15509
来源: BUGTRAQ
名称: 20051121 Google Search Appliance proxystylesheet Flaws
链接:http://www.securityfocus.com/archive/1/archive/1/417310/30/0/threaded
来源: OSVDB
名称: 20981
链接:http://www.osvdb.org/20981
来源: VUPEN
名称: ADV-2005-2500
链接:http://www.frsirt.com/english/advisories/2005/2500
来源: SECTRACK
名称: 1015246
链接:http://securitytracker.com/id?1015246
来源: MISC
链接:http://metasploit.com/research/vulns/Google_proxystylesheet/
来源: SECUNIA
名称: 17644
链接:http://secunia.com/advisories/17644
受影响实体
补丁
暂无
评论