发布日期：2001-10-24
更新日期：2001-10-30

受影响系统：

Bradford Barrett Webalizer 2.0.1-06
   - Apple MacOS X 10.0
   - SGI IRIX 4.0
   - Sun Solaris 7.0

描述：

---

BUGTRAQ  ID: 3473
CVE(CAN) ID: CAN-2001-0835

Webalizer 是一款Web服务器日志程序，用来生成Web站点统计日志文件。日志一般包括
来源，浏览器类型，站点点击率和文件访问等信息，这些日志文件是HTML格式的，可以
通过浏览器查看。但是该程序被发现存在跨站脚本执行漏洞。

由于没有过滤HTML标记，通过在“REFERER”域精心构造一个包含HTML标记的字符串，
可能导致使用浏览器浏览日志的管理员遭受跨站脚本执行攻击。

<*来源：MASA （masa@magnux.com）
  链接：http://archives.neohapsis.com/archives/bugtraq/2001-10/0223.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 使用文本浏览器查看日志

厂商补丁：

目前厂商已经发布了补丁程序以修复这个问题，请到厂商的主页下载：

Bradford Barrett Webalizer 2.0.1-06:

   ftp://ftp.mrunix.net/pub/webalizer/sec-fix.patch


浏览次数：5802
严重程度：0（网友投票）