影响版本:
Easy Software Products CUPS 1.4.x Easy Software Products CUPS 1.3.x
漏洞描述:
Common Unix Printing System(CUPS)是一款通用Unix打印系统,
是Unix环境下的跨平台打印解决方案,基于Internet打印协议,提供大多数
PostScript和raster打印机服务。 CUPS没有正确地处理HTTP头和HTML模板,远程攻击者可以通过产品的web界面、
打印系统的配置和打印任务的标题提交恶意kerberos参数,执行跨站脚本或HTTP
响应拆分攻击。
测试方法:
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
http://127.0.0.1:631/admin/?kerberos=onmouseover=alert(1)&kerberos
SEBUG安全建议:
厂商补丁: Easy Software Products ---------------------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.cups.org/strfiles/3367/security-1.4v2.patch http://www.cups.org/strfiles/3367/security-1.3v2.patch Sun --- Sun已经为此发布了一个安全公告(Sun-Alert-6893187)以及相应补丁: Sun-Alert-6893187:Multiple Security Vulnerabilities in the
Common Unix Printing System (CUPS) Web Interface in
OpenSolaris May Lead to Cross-Site Scripting (XSS) and HTTP
Response Splitting Attacks 链接:http://sunsolve.sun.com/search/document.do?assetkey=1-66-271169-1
0 条评论。