发布日期：2012-12-28
更新日期：2012-12-28

受影响系统：

caucho Resin 4.0.0 - 4.0.27
caucho Resin 3.1.0 - 3.1.12
caucho Resin 3.0.0 - 3.0.25

不受影响系统：

caucho Resin >= 4.0.28
caucho Resin >= 3.1.13

描述：

---

CVE(CAN) ID: CVE-2012-3348

Caucho Resin是一款流行的WEB应用服务器。

Caucho Resin 3.x和4.x默认安装后自带了一些例子程序，其中例程ioc-appconfig会演示打开一个用户指定的配置文件。当提供一个不存在的文件名时，会泄露当前的物理路径信息。在一些更老的版本中，这个例子程序也叫jndi-appconfig。

<*来源：绿盟科技安全研究团队谭荆利
  
  链接：http://www.nsfocus.net/index.php?act=advisory&do=view&adv_id=53
*>

建议：

---

临时解决方法：

* 删除resin-doc目录下的examples或者resource目录。

厂商补丁：

caucho
------
目前厂商已在Resin 3.1.13和4.0.28中修复了相关漏洞，请到厂商的主页下载最新版本：

http://www.caucho.com/download/

浏览次数：8370
严重程度：0（网友投票）