发布日期：2013-11-27
更新日期：2013-11-28

受影响系统：

Jetty Jetty < 9.0.6.v20130930

描述：

---

Jetty是一个开源的servlet容器，它为基于Java的web内容，例如JSP和servlet提供运行环境。

Jetty 9.0.6.v20130930之前版本在处理资源请求时出错，攻击者通过附加NTFS流类型到目录或文件名称，利用此漏洞可非法访问受限制资源类型。

<*来源：Sergey Bobrov
  
  链接：http://secunia.com/advisories/55861/
*>

建议：

---

厂商补丁：

Jetty
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://jetty.sourceforge.net

参考：

Eclipse:
https://bugs.eclipse.org/bugs/show_bug.cgi?id=418014
http://dev.eclipse.org/mhonarc/lists/jetty-announce/msg00054.html

Positive Technologies:
http://en.securitylab.ru/lab/PT-2013-65

浏览次数：5567
严重程度：0（网友投票）