发布日期：2009-10-06
更新日期：2009-10-12

受影响系统：

Symantec SecurityExpressions 4.1.1
Symantec SecurityExpressions 4.1

描述：

---

BUGTRAQ  ID: 36570,36571
CVE ID: CVE-2009-3029,CVE-2009-3030

Symantec SecurityExpressions是用于在企业执行安全核查、合规性和配置检查的安全解决方案。

SecurityExpression审计和合规性服务器没有正确地验证客户端提交给控制台的输入，远程攻击者可以通过提交恶意请求执行存储式跨站脚本攻击；此外由于没有正确地编码响应的出错消息，远程攻击者还可以在返回给用户的响应中注入恶意HTML内容。

<*来源：Nate Roberts
  
  链接：http://secunia.com/advisories/36972/
        http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2009&suid=20091006_00
*>

建议：

---

厂商补丁：

Symantec
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://kb.altiris.com/

浏览次数：2404
严重程度：0（网友投票）