Red Hat Certificate System跨站脚本漏洞

漏洞起因
跨站脚本错误
危险等级

影响系统
Red Hat Certificate System v8

不受影响系统

危害
远程攻击者利用漏洞获得敏感信息或劫持用户会话。

攻击所需条件
攻击者必须可访问Red Hat Certificate System。

漏洞信息
Red Hat Certificate System是一款认证系统,提供强大的安全框架来确保用户的身份以及通讯的私密性。
Red Hat Certificate System ‘displayCRL’和’profileProcess’脚本不正确过滤’pageStart’、’pageSize’和’nonce’变量数据,允许攻击者利用漏洞使用证书系统WEB接口进行攻击,可获得敏感信息或劫持用户会话。

测试方法

厂商解决方案
用户可参考如下厂商提供的安全公告获得补丁信息:
http://rhn.redhat.com/errata/RHSA-2012-1550.html

漏洞提供者
Jan Lieskovsky