当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

多家厂商产品HTTP响应拆分漏洞

信息来源:Amit Klein (Amit.Klein@SanctumInc.com)      发表日期:2013-11-01 14:14:00

HTTP响应拆分是一种Web应用漏洞,产生的原因是应用或其环境没有正确过滤输入值。

多家厂商的产品存在HTTP响应拆分及输入验证漏洞,攻击者将HTTP响应拆分成多个部分,然后注入CR/LF序列变体到HTTP响应头,欺骗客户端用户,通过Web应用、浏览器、服务器和代理等攻击Web用户。

 

BUGTRAQ-ID:9804

受影响系统:

IBM Websphere Application Server 5.x

Microsoft Internet Explorer 6

Squid Web Proxy Cache 2.x

 

解决办法:安装厂商补丁

厂商补丁:

IBM

---

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.ibm.com/support/fixcentral/

参考:

http://www.sanctuminc.com/pdf/whitepaper_httpresponse.pdf

http://www.squid-cache.org/Versions/v2/2.5/bugs/#squid-2.5.STABLE7-response_splitting