安全研究
安全漏洞
NewAtlanta ServletExec/ISAPI路径泄露漏洞
发布日期:2002-05-22
更新日期:2002-05-28
受影响系统:NewAtlanta ServletExec/ISAPI 4.1
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000
描述:
BUGTRAQ ID:
4793
CVE(CAN) ID:
CVE-2002-0892
ServletExec/ISAPI是一款运行在Microsoft IIS WEB平台下的Java Servlet/JSP引擎插件,可使用在Microsoft Windows NT/2000/XP系统下的IIS WEB服务程序中。
ServletExec/ISAPI对用户提交的没有文件名的URL请求处理不够正确,可导致远程攻击者获得系统中Web主目录安装路径信息。
远程攻击者可以通过直接请求调用'com.newatlanta.servletexec.JSP10Servlet'类而不带任何文件名,服务程序就会返回包含Web主目录安装路径信息的错误给客户端,攻击者可以利用此漏洞得到的信息对系统进一步进行攻击。
<*来源:Matt Moore (
matt@westpoint.ltd.uk)
链接:
http://archives.neohapsis.com/archives/bugtraq/2002-05/0196.html
*>
建议:
厂商补丁:
NewAtlanta
----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
NewAtlanta Patch ServletExec_4_1p9.zip
ftp://ftp.newatlanta.com/public/4_1/patches/浏览次数:3391
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |