发布日期:2011-08-08
更新日期:2011-08-08
受影响系统:
Novell Data Synchronizer Mobility Pack 1.1.2
Novell Data Synchronizer Mobility Pack 1.1
Novell Data Synchronizer Mobility Pack 1.0
不受影响系统:
Novell Data Synchronizer Mobility Pack 1.2
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 49069
CVE ID: CVE-2011-2221,CVE-2011-2222,CVE-2011-2223,CVE-2011-2224
Novell Data Synchronizer Mobility Pack是即时同步应用程序和移动设备数据的应用。
Novell Data Synchronizer Mobility Pack在实现上存在多个远程安全漏洞,远程攻击者可利用这些漏洞在Web服务器进程中的用户浏览器中执行任意代码,获取敏感数据或截获用户会话。
1)Mobility Pack中存在不明细节错误, 可用于泄露与 GroupWise相关的敏感信息;
2)处理Web Admin中的会话时存在错误,可通过引诱用户在点击特制链接后登录截获另一个用户的会话。
3)在返回给用户之前,通过Cookie值传递的某些输入(没有设置"HTTPOnly"旗标时)没有正确过滤。可被利用在受影响站点的用户浏览器会话中执行任意HTML和脚本代码。
<*来源:vendor
链接:
?externalId=7009055
?externalId=7009053
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Novell
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: