发布日期：2010-02-23
更新日期：2010-02-24

受影响系统：

Computer Associates eHealth Performance Manager 6.2.x
Computer Associates eHealth Performance Manager 6.1.x
Computer Associates eHealth Performance Manager 6.0.x

描述：

---

BUGTRAQ  ID: 38376
CVE ID: CVE-2010-0640

eHealth Performance Manager是一个性能管理解决方案，用于保障整个基础架构的服务质量。

eHealth Performance Manager没有充分的过滤用户通过Web接口请求所提交的某些字符，用户受骗跟随了恶意的URL就可能导致跨站脚本攻击。

<*来源：Tony Fogarty DNV IT Global Services Limited
  
  链接：http://marc.info/?l=bugtraq&m=126698694805032&w=2
        http://secunia.com/advisories/38694/
*>

建议：

---

临时解决方法：

* 如下启用Scan user input for potentially malicious HTML content配置：

1) 以Admin权限登录到eHealth Web界面
2) 导航至Administration标签页
3) 选择Site Configuration链接
4) 找到Scan user input for potentially malicious HTML content选项并将其值从No修改为Yes
5) 选择Save

厂商补丁：

Computer Associates
-------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.cai.com/

浏览次数：2451
严重程度：0（网友投票）