发布日期：2002-04-23
更新日期：2002-04-29

受影响系统：

Apache Group Tomcat 3.0
    - Linux系统  
    - Unix系统  
Apache Group Tomcat 3.1
    - Linux系统  
    - Unix系统  
Apache Group Tomcat 3.1.1
    - Linux系统  
    - Unix系统  
Apache Group Tomcat 3.2
    - Linux系统  
    - Unix系统  
Apache Group Tomcat 3.2.1
    - Linux系统  
    - Unix系统  
Apache Group Tomcat 3.2.3
    - Linux系统  
    - Unix系统  
Apache Group Tomcat 3.2.4
    - Linux系统  
    - Unix系统  
Apache Group Tomcat 3.3
    - Linux系统  
    - Unix系统  
Apache Group Tomcat 3.3.1
    - Linux系统  
    - Unix系统  
Apache Group Tomcat 4.0
    - Linux系统  
    - Unix系统  
Apache Group Tomcat 4.0.1
    - Linux系统  
    - Unix系统  
Apache Group Tomcat 4.0.2
    - Linux系统  
    - Unix系统  
Apache Group Tomcat 4.0.3
    - Linux系统  
    - Unix系统  
Apache Group Tomcat 4.1
    - Linux系统  
    - Unix系统

描述：

---

BUGTRAQ  ID: 4575
CVE(CAN) ID: CVE-2002-2006

Apache Tomcat是一款免费的用于JAVA Servlet和Javaserver页技术的Servlet实现。

Apache Tomcat包含的两个样例类存在漏洞，可导致系统敏感信息泄露。

攻击者可以向服务器请求Tomcat包含的两个样例类(SnoopServlet 和 TroubleShooter)，可导致服务程序返回包含Tomcat安装路径的信息给攻击者。

攻击者可以根据这些敏感信息对系统进一步进行攻击。

<*来源：Wang Yun （lovehacker@chinansl.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-04/0311.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 删除这两个样例类(SnoopServlet 和TroubleShooter)。

厂商补丁：

Apache Group
------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://jakarta.apache.org/tomcat/index.html

浏览次数：3909
严重程度：0（网友投票）