发布日期：2012-12-28
更新日期：2012-12-28

受影响系统：

caucho Resin 3.1.0 - 3.1.3
caucho Resin 3.0.0 - 3.0.25

不受影响系统：

caucho Resin >= 3.1.4

描述：

---

CVE(CAN) ID: CVE-2012-3349

Caucho Resin是一款流行的WEB应用服务器。

Caucho Resin 3.x更早版本在实现上存在目录穿越安全漏洞，默认安装后自带的例子程序jndi-appconfig会演示打开一个用户指定的配置文件。如果提交的文件名中包含"../"等字符串，可能造成任意文件内容读取。这个漏洞已经在3.1.4中修复。

<*来源：绿盟科技安全研究团队谭荆利
  
  链接：http://www.nsfocus.net/index.php?act=advisory&do=view&adv_id=53
*>

建议：

---

临时解决方法：

* 删除resin-doc目录下的examples或者resource目录。

厂商补丁：

caucho
------
目前厂商已经在Resin 3.1.4中修复了这个安全问题，请到厂商的主页下载最新版本：

http://www.caucho.com/download/

浏览次数：5150
严重程度：0（网友投票）