【绿盟科技授权，赛迪发布，谢绝任何网站转载，违者，赛迪网将保留追究其法律责任的权利！】

【赛迪网-it技术报道】sun java system web server是高性能的web服务器。sun java系统web服务器的高级搜素机制没有正确地过滤某些用户输入，远程非特权可以通过提交恶意搜索请求执行跨站脚本攻击，导致用户在客户端的web浏览器中执行任意javascript命令，这可能允许远程用户窃取cookie信息、劫持会话或导致损失数据保密性。

发布日期：2008-05-23

更新日期：2008-05-27

受影响系统：

sun java system web server 7.0 update 2

sun java system web server 7.0 update 1

sun java system web server 7.0

sun java system web server 6.1

描述：

----------------------------------------------------------------------------

bugtraq id: 29355

sun java system web server是高性能的web服务器。

sun java系统web服务器的高级搜素机制没有正确地过滤某些用户输入，远程非特权可以通过提交恶意搜索请求执行跨站脚本攻击，导致用户在客户端的web浏览器中执行任意javascript命令，这可能允许远程用户窃取cookie信息、劫持会话或导致损失数据保密性。

<*来源：sun alert notification

链接：http://secunia.com/advisories/30381/

http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-236481-1

*>

建议：

----------------------------------------------------------------------------

临时解决方法：

* 编辑以下文件：

/bin/https/webapps/search/advanced.jsp

删除以下行：

">

"out.println(s);"

厂商补丁：

sun

---

sun已经为此发布了一个安全公告（sun-alert-236481）以及相应补丁:

sun-alert-236481：cross-site scripting vulnerability in the sun java system web server advanced search mechanism

链接：http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-236481-1