Resultados 1 al 3 de 3

cross-site scripting en ColdFusion MX

  1. #1 cross-site scripting en ColdFusion MX 
    kraos_inside
    kraos_inside está desconectado
    Iniciado
    Fecha de ingreso
    Mar 2007
    Ubicación
    cadiz
    Mensajes
    27
    Descargas
    0
    Uploads
    0
    Default 18-02-2008, 22:25
    El primero de los problemas reside en que las entradas pasadas a determinados parámetros no se limpia adecuadamente antes de ser devuelta al usuario. Esto podrá ser empleado por un atacante para ejecutar código html arbitrario y código script code en una sesión de usuario del navegador. La explotación exitosa requiere que no esté habilitado Global Script Protection.

    Este problema afecta a ColdFusion MX 7. la actualización para corregirlo está disponible en: http://download.macromedia.com/pub/security/bulletins/apsb07-03/apsb07-03.zip

    El segundo de los problemas reside en una vulnerabilidad en la página de error por defecto de ColdFusion, que puede permitir a un atacante evitar la protección cross-site scripting. Se ven afectados ColdFusion MX 7.X y ColdFusion MX 6.X.

    Para ColdFusion MX 7:
    http://download.macromedia.com/pub/security/bulletins/apsb07-04/CFMX7_APSB07-04.zip

    Para ColdFusion MX 6.1:
    http://download.macromedia.com/pub/security/bulletins/apsb07-04/CFMX6_APSB07-04.zip

    las localizaciones del archivos son:
    Para Windows: {cf_root}\wwwroot\WEB-INF\exception\detail.cfm
    Para Unix/Linux: {cf_root}/wwwroot/WEB-INF/exception/detail.cfm
    Lo malo de la ignorancia es no poner remedio
    Citar  
     
  2. #2 Cross-Site Scripting (XSS) Oracle 
    kraos_inside
    kraos_inside está desconectado
    Iniciado
    Fecha de ingreso
    Mar 2007
    Ubicación
    cadiz
    Mensajes
    27
    Descargas
    0
    Uploads
    0
    Default 18-02-2008, 22:42
    Se ha descubierto un error de validación en Oracle HTTP Server. Este
    problema puede permitir a un atacante remoto realizar ataques del tipo
    Cross-Site Scripting (XSS).

    Se ha descubierto un error de validación en Oracle HTTP Server. Este
    problema puede permitir a un atacante remoto realizar ataques del tipo
    Cross-Site Scripting (XSS).

    Se ha descubierto que el script ‘isqlplus’ no filtra adecuadamente las
    entradas dadas por los usuarios en los parámetros ‘action’, ‘username’
    y ‘password’. Un usuario remoto puede enviar una URL especialmente
    creada que, una vez cargada por la víctima, permitirá la ejecución de
    código script en el navegador de la víctima.

    Como resultado, este código puede acceder a las cookies asociadas con
    el sitio web (lo que incluye las de autenticación), o incluso acceder
    a datos enviados recientemente por la víctima, o realizar acciones en
    el web actuando como dicha víctima.

    Se han dado algunas URLs como ejemplo:

    http://[victima]/isqlplus?action=log...)%3c/script%3e

    http://[victima]/isqlplus?action=<script>alert(’XSS’)</script>

    Por el momento la compañía no ha publicado parches para corregir este
    problema, por lo que se recomienda utilizar, por ejemplo, un proxy o
    un firewall que filtre las entradas maliciosas.

    Más información:

    Oracle HTTP Server ‘isqlplus’ Input Validation Flaws Let Remote Users
    Conduct Cross-Site Scripting Attacks
    http://www.securitytracker.com/alerts/2004/Jan/1008838.html

    Otros articulos que te pueden interesar

    * Cross site scripting en Oracle Server 10g
    * Cross site scripting en Oracle Rapid Install
    * Multiples vulnerabilidades de Cross Site Scripting (XSS)
    * Vulnerabilidades en Oracle Web Cache / Application Server
    * Cross-Site Scripting en Internet Explorer a través de XML
    Última edición por kraos_inside; 18-02-2008 a las 22:45
    Lo malo de la ignorancia es no poner remedio
    Citar  
     
  3. #3 Vulnerabilidades en Servidores http Apache afectan a Sun 
    kraos_inside
    kraos_inside está desconectado
    Iniciado
    Fecha de ingreso
    Mar 2007
    Ubicación
    cadiz
    Mensajes
    27
    Descargas
    0
    Uploads
    0
    Default 28-02-2008, 11:41
    Sun ha reconocido dos problemas en el servidor HTTP Apache que podrían
    permitir a un atacante realizar ataques de cross site scripting o
    provocar una denegación de servicio:

    Los dos problemas anunciados son:

    * El primer error se debe a un fallo en el módulo mod_status del
    servidor HTTP Apache. En sitios donde la página de estado del servidor
    es públicamente accesible y la opción ExtendedStatus está activada, un
    atacante puede aprovechar este fallo para realizar un ataque de
    cross-site scripting.

    * La segunda vulnerabilidad se debe a un error en el módulo mod_cache.
    Un atacante que aprovechara este fallo en sitios donde la cache
    estuviera activada, podría conseguir que los procesos hijos de Apache
    dejaran de funcionar. Esto resultaría en una denegación de servicio si
    se estuviera utilizando un módulo multiproceso basado en threads.

    Según versión y plataforma, las actualizaciones están disponibles desde:

    Para SPARC:
    Solaris 8 instalar 116973-06 o posterior desde:
    http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-116973-06-1
    Solaris 9 instalar 113146-09 o posterior desde:
    http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-113146-09-1
    Solaris 10 instalar 120543-10 o posterior desde:
    http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-120543-10-1
    y 122911-08 o posterior desde:
    http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-122911-08-1

    Para x86:
    Solaris 8 instalar 116974-06 o posterior desde:
    http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-116974-06-1
    Solaris 9 instalar 114145-08 o posterior desde:
    http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-114145-08-1
    Solaris 10 instalar 120544-1 o posterior desde:
    http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-120544-10-1
    y 122912-08 o posterior desde:
    http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-122912-08-1
    Lo malo de la ignorancia es no poner remedio
    Citar  
     
« Tema anterior | Próximo tema »

Temas similares

  1. Cross-site scripting en Apache 1.3.x y 2.2.x
    Por Cypress en el foro NOTICIAS
    Respuestas: 0
    Último mensaje: 03-01-2008, 18:05
  2. Cross Site Scripting
    Por chico1988 en el foro VULNERABILIDADES
    Respuestas: 4
    Último mensaje: 16-06-2007, 15:14
  3. cross site scripting
    Por jocanor en el foro GENERAL
    Respuestas: 4
    Último mensaje: 01-08-2003, 11:06
  4. atake de cross-site scripting
    Por spushan en el foro GENERAL
    Respuestas: 0
    Último mensaje: 07-06-2003, 19:12
  5. New mhonarc packages fix cross site scripting
    Por TseTse en el foro VULNERABILIDADES
    Respuestas: 0
    Último mensaje: 20-11-2002, 23:24

Marcadores

Marcadores