09.12.2004 - Дыра в библиотеке Jakarta Lucene

В Java-библиотеке Jakarta Lucene, предназначенной для создания поисковых сервисов, найдена достаточно серьезная брешь. Обнаруженная дыра теоретически может эксплуатироваться злоумышленниками с целью проведения XSS-атак (Cross-Site Scripting) на удаленные компьютеры, а также для несанкционированного просмотра конфиденциальной информации, в частности, файлов "куки" (cookies). Проблема связана с некорректной проверкой данных в модуле "src/jsp/results.jsp". Для организации нападения достаточно вынудить жертву открыть сформированную особым образом ссылку. Брешь присутствует в библиотеках Jakarta Lucene версий до 1.4.3. Загрузить обновленную модификацию Jakarta Lucene можно отсюда.

По материалам сайта compulenta.ru

Тел.: (3262) 45-29-56, 45-43-87

E-mail: ounbtaraz@narod.ru

Copyright (c) by ОУНБ им.Ш.Уалиханова