微点交流论坛

标题: Atlassian JIRA Enterprise Edition 跨站脚本攻击和安全问题 [打印本页]

作者: pioneer 时间: 2008-1-7 13:44 标题: Atlassian JIRA Enterprise Edition 跨站脚本攻击和安全问题

来源

secunia.com

软件名

Atlassian JIRA Enterprise Edition 3.x

描述

1)500page.jsp中特定的输入（例如通过URL传送到secure/CreateIssue）而触发的错误消息，在返回到用户前没有被准确过滤，这可导致用户浏览器浏览受影响的网页时，执行任意HTML和脚本代码

2)删除共享的过滤器时的错误可导致删除其他用户的过滤器

3)安装时没有正确设置缺省语言，这可导致在安装向导手工改变缺省语言。

该漏洞在version 3.11 (build 288)中已经确认，JIRA Enterprise 3.6.4, 3.6.5, 3.10,和3.12中已经报告，3.12.1之前的版本也已经报告，其它版本可能也受到影响

解决方案

升级到V3.12.1或应用补丁，详见厂商细节

http://www.atlassian.com/software/jira/views/DownloadCenter.jspa

http://www.atlassian.com/software/jira/views/DownloadCenter.jspa

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn