发布日期：2002-09-03
更新日期：2002-09-05

受影响系统：

CacheFlow Client Accelerators CA 4.1.06
CacheFlow Server Accelerators SA 4.1.06
CacheFlow Security Gateways SG 2.1.02

不受影响系统：

CacheFlow Client Accelerators CA 4.1.07
CacheFlow Server Accelerators SA 4.1.07
CacheFlow Security Gateways SG 2.1.03

描述：

---

Cache OS是一款应用于CacheFlow网络加速系列产品中的操作系统，由CacheFlow维护和开发。

CacheFlow CacheOS对用户输入缺少检查，远程攻击者可以利用这个漏洞进行跨站脚本执行攻击。

Cache OS在处理用户提供的输入时没有正确过滤"<"、">"、"&"等字符，攻击者可以构建包含恶意脚本代码的WEB页面，让此链接被用户点击时，返回的应用程序错误页面信息Cache OS会不经过任意过滤返回给客户端，可导致恶意脚本代码在用户浏览器中执行，使用户基于Cookie认证的信息泄露。

此漏洞应该类似"CacheFlow CacheOS不能解析域名远程跨站脚本执行漏洞"( http://www.nsfocus.com/index.php?act=sec_bug&do=view&bug_id=3181 )所描述的漏洞。

<*来源：Blue Coat Systems (formerly CacheFlow) Support Department （support@bluecoat.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=103106944724913&w=2
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* Client Accelerators
    CA 3.1.XX
      升级可定制的错误页面.
      下载升级的错误页面文件并按照如下方法安装：

      http://download.cacheflow.com/release/CA/3.1.00-docs/v3.1-error-pages.zip

    CA 4.0.XX
      升级可定制的错误页面.
      下载升级的错误页面文件并按照如下方法安装：

      http://download.cacheflow.com/release/CA/4.0.00-docs/CA4-error-pages.zip


  Server Accelerators
    SA 4.0.XX

      升级可定制的错误页面.
      下载升级的错误页面文件并按照如下方法安装：

      http://download.cacheflow.com/release/SA/4.0.00-docs/SA4-error-pages.zip

厂商补丁：

CacheFlow
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.cacheflow.com/

  Client Accelerators
    建议升级到CA 4.1.07或者更高版本

  Server Accelerators
    建议升级到SA 4.1.07或者更高版本

  Security Gateways
    建议升级到SG 2.1.03或者更高版本

浏览次数：2576
严重程度：0（网友投票）