漏洞信息详情
Citrix Nfuse泄漏应用程序列表漏洞
- CNNVD编号:CNNVD-200208-012 <!--
- 危害等级: 中危-->
- 危害等级: 中危
- CVE编号: CVE-2002-0502
- 漏洞类型: 设计错误
- 发布时间: 2002-01-22
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: citrix
- 漏洞来源: Tom.Lyne※ Tom.Lyne...
-
漏洞简介
Citrix Nfuse是一种application portal server,通过WEB浏览器可以提供WEB服务器上某些应用程序的功能。 Citrix NFuse利用了会话cookie来验证用户身份,成功登录后,直接访问applist.asp将显示所有会话相关的applications。 如果关闭浏览器或者通过logout.asp注销,这个cookie将被删除。但是当用户使用了NFuse会话后没有关闭浏览器,而是简单地在地址栏处输入其它URL,则这个cookie被保留下来。之后的某个浏览器使用者简单地在地址栏处输入URL直接访问applist.asp或frameset.asp,将看到相应用户的application list。
漏洞公告
临时解决方法: [email protected]> 提供了如下解决办法
在applist.asp和frameset.asp的最前面增加如下代码
<%
NFUSEbaseURL = "https://" & Request.ServerVariables("HTTP_HOST") &
"/citrix/nfuse161/"
If Left(Request.ServerVariables("HTTP_REFERER"), Len(NFUSEbaseURL))
NFUSEbaseURL then
Response.Redirect(NFUSEbaseURL)
End If
%>
这确保页面被刷新,前面的cookie失效了。 厂商补丁: Citrix ------ 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.citrix.com/products/nfuse/default.asp
参考网址
来源: XF 名称: nfuse-applist-information-disclosure(7984) 链接:http://xforce.iss.net/static/7984.php 来源: BID 名称: 3926 链接:http://www.securityfocus.com/bid/3926 来源: BUGTRAQ 名称: 20020123 RE: Citrix NFuse 1.6 链接:http://www.securityfocus.com/archive/1/251923 来源: BUGTRAQ 名称: 20020122 Citrix NFuse 1.6 链接:http://www.securityfocus.com/archive/1/251737
受影响实体
- Citrix Nfuse:1.6<!--2000-1-1-->
补丁
暂无
还没有评论,来说两句吧...