多家厂商产品HTTP响应拆分漏洞
信息来源:Amit Klein (Amit.Klein@SanctumInc.com) 发表日期:2013-11-01 14:14:00
HTTP响应拆分是一种Web应用漏洞,产生的原因是应用或其环境没有正确过滤输入值。
多家厂商的产品存在HTTP响应拆分及输入验证漏洞,攻击者将HTTP响应拆分成多个部分,然后注入CR/LF序列变体到HTTP响应头,欺骗客户端用户,通过Web应用、浏览器、服务器和代理等攻击Web用户。
BUGTRAQ-ID:9804
受影响系统:
IBM Websphere Application Server 5.x
Microsoft Internet Explorer 6
Squid Web Proxy Cache 2.x
解决办法:安装厂商补丁
厂商补丁:
IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.ibm.com/support/fixcentral/
参考:
http://www.sanctuminc.com/pdf/whitepaper_httpresponse.pdf
http://www.squid-cache.org/Versions/v2/2.5/bugs/#squid-2.5.STABLE7-response_splitting