Barracuda垃圾邮件防火墙存在跨站脚本漏洞

Barracuda垃圾邮件防火墙存在跨站脚本漏洞 Barracuda垃圾邮件防火墙设备的web管理接口存在跨站脚本漏洞，Barracuda设备通过ldap_test.cgi脚本提供LDAP测试功能，这个脚本没有充分的验证用户在email参数中所提供的输入，远程安全者可以通过向管理接口提交恶意参数执行跨站脚本安全，导致在浏览器中以Barracuda设备的权限执行任意代码。 

发布日期：2008-05-22 

更新日期：2008-05-23 

受影响系统： 

Barracuda Networks Barracuda Spam Firewall < 3.5.11.025 

描述： 

---------------------------------------------------------------------------- 

BUGTRAQ ID: 29340 

CVE(CAN) ID: CVE-2008-2333 

Barracuda Spam Firewall是用于保护邮件服务器的集成硬件和软件垃圾邮件解决方案。 

Barracuda垃圾邮件防火墙设备的web管理接口存在跨站脚本漏洞，Barracuda设备通过ldap_test.cgi脚本提供LDAP测试功能，这个脚本没有充分的验证用户在email参数中所提供的输入，远程安全者可以通过向管理接口提交恶意参数执行跨站脚本安全，导致在浏览器中以Barracuda设备的权限执行任意代码。 

<*来源：Mark Crowther （mark.crowther@irmplc.com） 

链接：http://marc.info/?l=bugtraq&m=121148919926195&w=2 

http://www.barracudanetworks.com/ns/support/tech_alert.php 

http://secunia.com/advisories/30362/ 

*> 

建议： 

---------------------------------------------------------------------------- 

厂商补丁： 

Barracuda Networks 

------------------ 

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： 

http://www.barracudanetworks.com/ns/products/spam_overview.php