Novell Data Synchronizer Mobility Pack多个远程安全漏洞

发布日期:2011-08-08
更新日期:2011-08-08

受影响系统:
Novell Data Synchronizer Mobility Pack 1.1.2
Novell Data Synchronizer Mobility Pack 1.1
Novell Data Synchronizer Mobility Pack 1.0
不受影响系统:
Novell Data Synchronizer Mobility Pack 1.2
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 49069
CVE ID: CVE-2011-2221,CVE-2011-2222,CVE-2011-2223,CVE-2011-2224

Novell Data Synchronizer Mobility Pack是即时同步应用程序和移动设备数据的应用。

Novell Data Synchronizer Mobility Pack在实现上存在多个远程安全漏洞,远程攻击者可利用这些漏洞在Web服务器进程中的用户浏览器中执行任意代码,获取敏感数据或截获用户会话。

1)Mobility Pack中存在不明细节错误, 可用于泄露与 GroupWise相关的敏感信息;

2)处理Web Admin中的会话时存在错误,可通过引诱用户在点击特制链接后登录截获另一个用户的会话。

3)在返回给用户之前,通过Cookie值传递的某些输入(没有设置"HTTPOnly"旗标时)没有正确过滤。可被利用在受影响站点的用户浏览器会话中执行任意HTML和脚本代码。

<*来源:vendor
 
  链接:
        ?externalId=7009055
        ?externalId=7009053
       
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Novell
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wwxzxx.html