[NEWS] Sun Java System Web Server Advanced Search Cross-Site Scripting

c.m.g · 26-05-2008, 10:31

26 maggio 2008

La società di sicurezza Secunia riporta un Advisory (SA30381) in cui si spiega che è stata trovata una vulnerabilità in Sun Java System Web Server, giudicata dalla stessa come Less critical, che potrebbe essere usata da malintenzionati per eseguire attacchi di tipo cross-site scripting su un computer di un utente ignaro.

L'errore risiederebbe nella funzione di ricerca avanzata che non validerebbe correttamente i dati in ingresso prima che vengano restituiti all'utente.
Questo bug può essere sfruttato da malintenzionati per eseguire sul computer della vittima codice HTML e script arbitrari in una sessione browser utente e nel contesto di un sito malevolo.

La vulnerabilità è stata confermata in Sun Java System Web Server 6.1 e 7.0.

Software colpiti:
Sun Java System Web Server (Sun ONE/iPlanet) 6.x
Sun Java System Web Server 7.x

Soluzione:
Applicare le patches rilasciate dal produttore.

-- Piattaforma SPARC --

Sun Java System Web Server 6.1:
Applicare il Service Pack 9 o la patch 116648-21.

Sun Java System Web Server 7.0:
Applicare l'Update 3 o superiore.

-- Piattaforma x86 --

Sun Java System Web Server 6.1:
Applicare il Service Pack 9 o la patch 116649-21.

Sun Java System Web Server 7.0:
Applicare l'Update 3 o superiore.

-- Linux --

Sun Java System Web Server 6.1:
Applicare il Service Pack 9 o la patch 118202-13.

Sun Java System Web Server 7.0:
Applicare l'Update 3 o superiore.

-- Windows --

Sun Java System Web Server 6.1:
Applicare il Service Pack 9 o la patch 121524-05.

Sun Java System Web Server 7.0:
Applicare l'Update 3 o superiore.

-- HP-UX --

Sun Java System Web Server 6.1:
Apply Service Pack 9 or patch 121510-05.

Sun Java System Web Server 7.0:
Applicare l'Update 3 o superiore.

-- AIX --

Sun Java System Web Server 6.1:
Applicare il Service Pack 9 o superiore.

Sun Java System Web Server 7.0:
Applicare l'Update 3 o superiore.

Sun Java System Web Server 6.1 Service Pack 9 e Sun Java System Web Server 7.0 Update 3 sono disponibili a questo indirizzo:
http://www.sun.com/download/index.jsp

Scoperto da:
Segnalato da Sun.

Advisory d'origine:
http://sunsolve.sun.com/search/docum...=1-66-236481-1

Fonte: Secunia

c.m.g · 26-05-2008, 17:01

ripreso da security focus:

http://www.securityfocus.com/bid/29355

26-05-2008, 10:31	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	[NEWS] Sun Java System Web Server Advanced Search Cross-Site Scripting 26 maggio 2008 La società di sicurezza Secunia riporta un Advisory (SA30381) in cui si spiega che è stata trovata una vulnerabilità in Sun Java System Web Server, giudicata dalla stessa come Less critical, che potrebbe essere usata da malintenzionati per eseguire attacchi di tipo cross-site scripting su un computer di un utente ignaro. L'errore risiederebbe nella funzione di ricerca avanzata che non validerebbe correttamente i dati in ingresso prima che vengano restituiti all'utente. Questo bug può essere sfruttato da malintenzionati per eseguire sul computer della vittima codice HTML e script arbitrari in una sessione browser utente e nel contesto di un sito malevolo. La vulnerabilità è stata confermata in Sun Java System Web Server 6.1 e 7.0. Software colpiti: Sun Java System Web Server (Sun ONE/iPlanet) 6.x Sun Java System Web Server 7.x Soluzione: Applicare le patches rilasciate dal produttore. -- Piattaforma SPARC -- Sun Java System Web Server 6.1: Applicare il Service Pack 9 o la patch 116648-21. Sun Java System Web Server 7.0: Applicare l'Update 3 o superiore. -- Piattaforma x86 -- Sun Java System Web Server 6.1: Applicare il Service Pack 9 o la patch 116649-21. Sun Java System Web Server 7.0: Applicare l'Update 3 o superiore. -- Linux -- Sun Java System Web Server 6.1: Applicare il Service Pack 9 o la patch 118202-13. Sun Java System Web Server 7.0: Applicare l'Update 3 o superiore. -- Windows -- Sun Java System Web Server 6.1: Applicare il Service Pack 9 o la patch 121524-05. Sun Java System Web Server 7.0: Applicare l'Update 3 o superiore. -- HP-UX -- Sun Java System Web Server 6.1: Apply Service Pack 9 or patch 121510-05. Sun Java System Web Server 7.0: Applicare l'Update 3 o superiore. -- AIX -- Sun Java System Web Server 6.1: Applicare il Service Pack 9 o superiore. Sun Java System Web Server 7.0: Applicare l'Update 3 o superiore. Sun Java System Web Server 6.1 Service Pack 9 e Sun Java System Web Server 7.0 Update 3 sono disponibili a questo indirizzo: http://www.sun.com/download/index.jsp Scoperto da: Segnalato da Sun. Advisory d'origine: http://sunsolve.sun.com/search/docum...=1-66-236481-1 Fonte: Secunia __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 26-05-2008 alle 10:37.

26-05-2008, 17:01	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	ripreso da security focus: http://www.securityfocus.com/bid/29355 __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Strumenti
Mostra una versione stampabile Invia questa pagina per email