标题: Jetty 多个漏洞 [打印本页]

---

作者: pioneer     时间: 2007-12-12 09:20    标题: Jetty 多个漏洞

来源

secunia.com

软件名

Jetty 6.x

描述

这可恶意进行http响应头截断攻击，跨站脚本攻击以及潜在地劫持用户会话

1)输入传递的非法参数在返回给用户之前没有经过正确的过滤，这可被用来在返回给用户的结果中插入任意http头

2)在返回到用户前Jetty Dump Servlet中输入的不特定参数没有被准确过滤，这可在用户浏览器浏览受影响的网址时，执行任意HTML和脚本代码。

3)处理特定引用次序的cookie中的错误可潜在劫持用户会话

该漏洞在V6.1.6之前的版本中已经报告

解决方案

升级到V6.1.6

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn