Дыра в библиотеке Jakarta Lucene
В Java-библиотеке Jakarta Lucene, предназначенной для создания поисковых сервисов, найдена достаточно серьезная брешь. Обнаруженная дыра теоретически может эксплуатироваться злоумышленниками с целью проведения XSS-атак (Cross-Site Scripting) на удаленные компьютеры, а также для несанкционированного просмотра конфиденциальной информации, в частности, файлов "куки" (cookies). Проблема связана с некорректной проверкой данных в модуле "src/jsp/results.jsp". Для организации нападения достаточно вынудить жертву открыть сформированную особым образом ссылку. Брешь присутствует в библиотеках Jakarta Lucene версий до 1.4.3. Загрузить обновленную модификацию Jakarta Lucene можно отсюда.
