受影响系统:
McAfee Network Security Manager 5.1.7 7
不受影响系统:
McAfee Network Security Manager 5.1.11 8.1
描述:
McAfee Network Security Manager是一款功能强大的入侵防护解决方案。
当用户加载Network Security Manager管理控制台的登录页面时服务端会在执行认证之前在浏览器中设置Cookie。由于没有设置HttpOnly标记,客户端的JavaScript也可以访问这个Cookie,因此任何可以访问这个Cookie的攻击者都可以通过劫持会话绕过认证,获得对Network Security Manager的管理访问。
<*来源:Daniel King
链接:http://marc.info/?l=bugtraq&m=125804528925778&w=2
https://kc.mcafee.com/corporate/index?page=content&id=SB10005&pmv=print
http://secunia.com/advisories/37178/
*>
测试方法:
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
建议:
厂商补丁:
McAfee
——
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
0 条评论。