發布日期：2008-05-23

更新日期：2008-05-27

受影響系統：

Sun Java System Web Server 7.0 Update 2

Sun Java System Web Server 7.0 Update 1

Sun Java System Web Server 7.0

Sun Java System Web Server 6.1

描述：

----------------------------------------------------------------------------

BUGTRAQ ID: 29355

Sun Java System Web Server是高性能的WEB服務器。

Sun Java系統Web服務器的高級搜素機制沒有正確地過濾某些用戶輸入，遠程非特權可以通過提交惡意搜索請求執行跨站腳本攻擊，導致用戶在客戶端的web瀏覽器中執行任意Javascript命令，這可能允許遠程用戶竊取cookie信息、劫持會話或導致損失數據保密性。

<*來源：Sun Alert Notification

鏈接：http://secunia.com/advisories/30381/

http://sunsolve.sun.com/search/PRintfriendly.do?assetkey=1-66-236481-1

*>

建議：

----------------------------------------------------------------------------

臨時解決方法：

* 編輯以下文件：

/bin/https/webapps/search/advanced.jsp

刪除以下行：

">

"out.println(s);"

廠商補丁：

Sun

---

Sun已經為此發布了一個安全公告（Sun-Alert-236481）以及相應補丁:

Sun-Alert-236481：Cross-Site Scripting Vulnerability in the Sun Java System Web Server Advanced Search Mechanism

鏈接：http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-236481-1