发布日期：2002-04-19
更新日期：2002-04-25

受影响系统：

Apache Group Tomcat 4.1
    - BSDI BSD/OS 4.0
    - Caldera OpenLinux Server 2.4
    - Compaq Digital Unix 4.0
    - Conectiva Linux 5.1
    - Debian Linux 2.3
    - Debian Linux 2.2
    - Debian Linux 2.1
    - FreeBSD 5.0
    - FreeBSD 4.5
    - Mandrake Linux 7.1
    - Mandrake Linux 7.0
    - NetBSD 1.4.2 x86
    - NetBSD 1.4.1
    - NetBSD 1.4.1 x86
    - RedHat Linux 6.2 x86
    - RedHat Linux 6.1
    - RedHat Linux 6.1 x86
    - SGI IRIX 6.5
    - SGI IRIX 6.4
    - SGI IRIX 3.3
    - Sun Solaris 8.0
    - Sun Solaris 7.0

描述：

---

BUGTRAQ  ID: 4557
CVE(CAN) ID: CVE-2002-2009

Apache Tomcat是一款免费的支持JSP实现的WEB服务程序。

Apache Tomcat对特殊URL请求处理存在漏洞，可导致系统敏感信息泄露。

攻击者可以提交包含特殊畸形的URL给Apache Tomcat服务器，可导致服务程序返回包含Web ROOT绝对路径的信息给攻击者。攻击者可以根据这些敏感信息对系统进一步进行攻击。

<*来源：Wang Yun （lovehacker@chinansl.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-04/0276.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时没有合适的临时解决方法。

厂商补丁：

Apache Group
------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.apache.org

浏览次数：4320
严重程度：0（网友投票）