Eclipse Jetty Web Server插件多个跨站脚本漏洞

Eclipse Jetty Web Server插件多个跨站脚本漏洞发布日期：2010-11-16
更新日期：2010-11-17受影响系统：
Eclipse Foundation, Inc. Eclipse 3.6.1
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 44883Eclipse是多语的软件开发环境，由IDE和可扩展的插件系统组成。 Eclipse中所内嵌的Jetty Web Server插件中存在多个跨站脚本漏洞。远程攻击者可以通过向/help/index.jsp和/help/advanced/content.jsp页面提交恶意的URL请求来利用这些漏洞，导致在用户的浏览器会话中执行任意HTML和脚本代码。<*来源：Aung Khant

链接：http://secunia.com/advisories/42236/
http://marc.info/？l=bugtraq&m=128991827122097&w=2
*>测试方法：
--------------------------------------------------------------------------------警告以下程序（方法）可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！http://localhost:[REPLACE]/help/index.jsp？"onload="alert（0）
http://localhost:[REPLACE]/help/advanced/content.jsp？"onload="alert（0）建议：
--------------------------------------------------------------------------------
厂商补丁：Eclipse Foundation, Inc.
------------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://dev.eclipse.org/viewcvs/index.cgi/org.eclipse.help.webapp/advanced/content.jsp？r1=1.33&r2=1.34
http://dev.eclipse.org/viewcvs/index.cgi/org.eclipse.help.webapp/basic/index.jsp？r1=1.17&r2=1.18OpenSSL TLS Server扩展解析堆溢出漏洞Novell iPrint客户端ienipp.ocx ActiveX控件GetDriverSettings（）接口缓冲区溢出漏洞相关资讯 Eclipse

Eclipse中将Java项目转换成Web项目（07月28日）
用 Python 打造你的 Eclipse （04月26日）
Eclipse基金会发布下一代IDE，（03月11日）

Linux 下搭建stm32开发环境（07月01日）
如何在Eclipse中添加Tomcat的jar包（03月23日）
基于Eclipse搭建STM32开源开发环境（03月10日）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论