发布日期：2002-07-01
更新日期：2002-07-09

受影响系统：

Macromedia JRun 3.0
    - IBM AIX 4.3
    - IBM AIX 4.2
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - RedHat Linux 6.1 alpha
    - RedHat Linux 6.1 sparc
    - RedHat Linux 6.1 x86
    - RedHat Linux 6.0
    - RedHat Linux 6.0 sparc
    - RedHat Linux 6.0 x86
    - SGI IRIX 6.5
    - Sun Solaris 7.0
    - Sun Solaris 2.6
Macromedia JRun 3.1
    - IBM AIX 4.3
    - IBM AIX 4.2
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - RedHat Linux 6.1 alpha
    - RedHat Linux 6.1 sparc
    - RedHat Linux 6.1 x86
    - RedHat Linux 6.0 x86
    - RedHat Linux 6.0 alpha
    - RedHat Linux 6.0
    - RedHat Linux 6.0 sparc
    - SGI IRIX 6.5
    - Sun Solaris 7.0
    - Sun Solaris 2.6
Macromedia JRun 4.0
    - Microsoft Windows XP
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1

描述：

---

BUGTRAQ  ID: 5134
CVE(CAN) ID: CVE-2002-1025

Macromedia JRun是一款Macromedia公司开发的Java 应用服务器，提供快速可靠的J2EE兼容平台。

Macromedia JRun对用户提交的请求缺少正确检查，远程攻击者可以利用这个漏洞获得.JSP文件源代码信息。

Macromedia JRun在处理字符串后的NULL字符存在问题，攻击者可以通过提交在.JSP文件后追加NULL字符的请求，可导致服务器返回JSP源代码信息，造成敏感信息泄露。攻击者可以利用此漏洞进一步对系统进行攻击。

<*来源：Peter Gründl （pgrundl@kpmg.dk）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-07/0001.html
*>

建议：

---

厂商补丁：

Macromedia
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Macromedia JRun 3.0:

Macromedia Patch jrun-30-win-upgrade-en_49297.exe
http://download.macromedia.com/pub/security/jrun/30/intel-win/jrun-30-win-upgrade-en_49297.exe
针对Macromedia JRun 3.0/Windows系统的补丁。

Macromedia Patch jrun-30-unix-upgrade-us_49297.sh
http://download.macromedia.com/pub/security/jrun/30/unix/jrun-30-unix-upgrade-us_49297.sh
针对Macromedia JRun 3.0/UNIX和Linux系统的补丁。

Macromedia JRun 3.1:

Macromedia Patch jrun-31-win-upgrade-en_49297.exe
http://download.macromedia.com/pub/security/jrun/31/intel-win/jrun-31-win-upgrade-en_49297.exe
针对Macromedia JRun 3.1/Windows系统的补丁。

Macromedia Patch jrun-31-unix-upgrade-us_49297.sh
http://download.macromedia.com/pub/security/jrun/31/unix/jrun-31-unix-upgrade-us_49297.sh
针对Macromedia JRun 3.1/UNIX和Linux系统的补丁。

Macromedia JRun 4.0:

Macromedia Patch MPSB02-06_jrun4-patch.zip
http://download.macromedia.com/pub/security/jrun/40/MPSB02-06_jrun4-patch.zip
针对Macromedia JRun 4.0/Windows系统的补丁。

Macromedia Patch MPSB02-06_jrun4-patch.zip
http://download.macromedia.com/pub/security/jrun/40/MPSB02-06_jrun4-patch.zip
针对Macromedia JRun 4.0/UNIX和Linux系统的补丁。

浏览次数：3401
严重程度：0（网友投票）