国土安全部:Symantec Web Gateway的漏洞

2014/06/25

据国土安全部的计算机紧急响应小组 (US-CERT),该Symantec Web Gateway包含了SQL注入和跨网站脚本漏洞。

Symantec Web Gateway 5.1.1.24,或更早的版本, 包含了跨网站脚本漏洞:filter_date_period,在/spywall/entSummary.php, /spywall/custom_report.php, /spywall/host_spy_report.php and /spywall/repairedclients.php页面中的变量和操作参数。

这意味着,一个远程未经身份验证的攻击者可以注入任意脚本或SQL命令。Symantec Web Gateway用户应该审计到5.2.1或更高版本。

国土安全部建议您只允许受信任的主机和网络的连接,以防止攻击者使用被限制的网络位置的盗用登录信息来访问网站界面。

受限制的访问不会阻止XSS或SQL的攻击,因为该攻击是来自合法用户主机的请求。

Symantec Web Gateway是一个网络过滤软件,目的是要保护组织,以防范恶意软件。

Tags:

Write a comment

Name
Comment