发布日期：2008-08-27
更新日期：2008-08-29

受影响系统：

RedHat Directory Server 8.0
RedHat Directory Server 7.1

不受影响系统：

RedHat Directory Server 7.1 SP7

描述：

---

BUGTRAQ  ID: 30870
CVE(CAN) ID: CVE-2008-2929

Red Hat目录服务器是用于集中管理应用设置、组数据、策略等内容的基于LDAP的服务器。

Red Hat目录服务器Administration Express和Directory Server Gateway（DSGW）的Web接口没有正确地解析%字符转义的用户提供值，导致多个跨站脚本漏洞，远程攻击者可以利用这些漏洞对使用这些web服务的Directory Server服务或管理员执行跨站脚本攻击。

<*来源：Tomas Hoger （thoger@redhat.com）
  
  链接：https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=454621
        http://secunia.com/advisories/31565/
        https://www.redhat.com/support/errata/RHSA-2008-0596.html
*>

建议：

---

厂商补丁：

RedHat
------
RedHat已经为此发布了一个安全公告（RHSA-2008:0596-01）以及相应补丁:
RHSA-2008:0596-01：Critical: Red Hat Directory Server 7.1 Service Pack 7 security update
链接：https://www.redhat.com/support/errata/RHSA-2008-0596.html