漏洞起因
跨站脚本错误
危险等级
低
影响系统
Red Hat Certificate System v8
不受影响系统
危害
远程攻击者利用漏洞获得敏感信息或劫持用户会话。
攻击所需条件
攻击者必须可访问Red Hat Certificate System。
漏洞信息
Red Hat Certificate System是一款认证系统,提供强大的安全框架来确保用户的身份以及通讯的私密性。
Red Hat Certificate System ‘displayCRL’和’profileProcess’脚本不正确过滤’pageStart’、’pageSize’和’nonce’变量数据,允许攻击者利用漏洞使用证书系统WEB接口进行攻击,可获得敏感信息或劫持用户会话。
测试方法
厂商解决方案
用户可参考如下厂商提供的安全公告获得补丁信息:
http://rhn.redhat.com/errata/RHSA-2012-1550.html
漏洞提供者
Jan Lieskovsky
评论关闭。