【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: FCKeditor.Java本地拒绝服务漏洞 [打印本页]

作者: zclzhao 时间: 2009-10-27 15:20 标题: FCKeditor.Java本地拒绝服务漏洞

影响版本:
FCKeditor.Java 2.4漏洞描述:
Bugraq ID: 35709
CNCAN ID：CNCAN-2009071702

FCKeditor.Java是一款FCKeditor 编辑器和Java之间的集成包，通过FCKeditor.Java可以在Java 程序中处理FCKeditor编辑器中的文件上传、浏览等需要服务器端支持的功能。
FCKeditor.Java不正确处理请求参数，远程攻击者可以利用漏洞使应用程序崩溃。
提交ctrl字符作为请求参会苏可导致tomcat一直应答请求，导致拒绝服务攻击。<*参考
http://dev.fckeditor.net/ticket/3902
*>
SEBUG安全建议:
升级到最新程序：
FCKeditor FCKeditor.Java 2.4
FCKeditor fckeditor-java-2.4.2-bin.tar.gz
http://sourceforge.net/projects/ ... editor.Java/fckedit or-java-2.4.2-bin.tar.gz/download

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)