发布日期：2001-12-06
更新日期：2001-12-18

受影响系统：

Allaire JRun 3.0
    - IBM AIX 4.3
    - IBM AIX 4.2
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows NT
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - RedHat Linux 6.1 alpha
    - RedHat Linux 6.1 x86
    - RedHat Linux 6.1 sparc
    - RedHat Linux 6.0 x86
    - RedHat Linux 6.0 sparc
    - RedHat Linux 6.0
    - RedHat Linux 6.0 alpha
    - SGI IRIX 6.5
    - Sun Solaris 8.0
    - Sun Solaris 7.0
Allaire JRun 3.1
    - IBM AIX 4.3
    - IBM AIX 4.2
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows NT
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - RedHat Linux 6.1 x86
    - RedHat Linux 6.1 alpha
    - RedHat Linux 6.1 sparc
    - RedHat Linux 6.0 x86
    - RedHat Linux 6.0 alpha
    - RedHat Linux 6.0
    - RedHat Linux 6.0 sparc
    - SGI IRIX 6.5
    - Sun Solaris 8.0
    - Sun Solaris 7.0

描述：

---

BUGTRAQ  ID: 3665
CVE(CAN) ID: CVE-2001-1545

JRun是由Allaire发布的JSP服务器。

该软件存在一个设计错误，可能导致敏感信息泄露。

当用户访问基于JRun的站点时，会得到一个Session ID，而在某些条件下，这个Session ID被附加在URL后面，这可能导致该信息泄露。

<*来源：Macromedia Security Alert （newsflash@macromedia.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2001-12/0091.html
        http://www.allaire.com/handlers/index.cfm?ID=22266&Method=Full
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时换用其它安全的JSP服务器，如Apache Tomcat等。

厂商补丁：

Allaire
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Allaire JRun 3.0:

Macromedia Patch JRun Win32 jr30sp2_25232.exe
http://download.allaire.com/publicdl/en/jrun/30/jr30sp2_25232.exe

Macromedia Upgrade JRun Unix jr30sp2u_25232.sh
http://download.allaire.com/publicdl/en/jrun/30/jr30sp2u_25232.sh

Allaire JRun 3.1:

Macromedia Patch JRun Win32 jrun-31-win-upgrade-us_26414.exe
http://download.allaire.com/publicdl/en/jrun/31/jrun-31-win-upgrade-us_26414.exe

Macromedia Upgrade JRun Unix jrun-31-unix-upgrade-us_26414.sh
http://download.allaire.com/publicdl/en/jrun/31/jrun-31-unix-upgrade-us_26414.sh

浏览次数：4001
严重程度：0（网友投票）