【绿盟科技授权，赛迪发布，谢绝任何网站转载，违者，赛迪网将保留追究其法律责任的权利！】

　　【赛迪网-IT技术报道】Sun Java System Web Server是高性能的WEB服务器。Sun Java系统Web服务器的高级搜素机制没有正确地过滤某些用户输入，远程非特权可以通过提交恶意搜索请求执行跨站脚本攻击，导致用户在客户端的web浏览器中执行任意JavaScript命令，这可能允许远程用户窃取cookie信息、劫持会话或导致损失数据保密性。

　　发布日期：2008-05-23
　
　　更新日期：2008-05-27

　　受影响系统：

　　Sun Java System Web Server 7.0 Update 2

　　Sun Java System Web Server 7.0 Update 1

　　Sun Java System Web Server 7.0

　　Sun Java System Web Server 6.1

　　描述：

　　----------------------------------------------------------------------------

　　BUGTRAQ ID: 29355

　　Sun Java System Web Server是高性能的WEB服务器。

　　Sun Java系统Web服务器的高级搜素机制没有正确地过滤某些用户输入，远程非特权可以通过提交恶意搜索请求执行跨站脚本攻击，导致用户在客户端的web浏览器中执行任意JavaScript命令，这可能允许远程用户窃取cookie信息、劫持会话或导致损失数据保密性。

　　<*来源：Sun Alert Notification

　　链接：http://secunia.com/advisories/30381/

　　http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-236481-1

　　*>

　　建议：

　　----------------------------------------------------------------------------

　　临时解决方法：
　　
　　* 编辑以下文件：

　　/bin/https/webapps/search/advanced.jsp

　　删除以下行：

　　">

　　"out.println(s);"

　　厂商补丁：

　　Sun

　　---

　　Sun已经为此发布了一个安全公告（Sun-Alert-236481）以及相应补丁:

　　Sun-Alert-236481：Cross-Site Scripting Vulnerability in the Sun Java System Web Server Advanced Search Mechanism

　　链接：http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-236481-1