安全研究
安全漏洞
Allaire JRun Servlet畸形请求远程拒绝服务攻击漏洞
发布日期:2000-10-31
更新日期:2000-10-31
受影响系统:Allaire JRun 3.0
- IBM AIX 4.3
- IBM AIX 4.2
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000 Server
- RedHat Linux 6.1
- RedHat Linux 6.0
- SGI IRIX 6.5
- Sun Solaris 7.0
- Sun Solaris 2.6
描述:
BUGTRAQ ID:
2337
Allaire JRun是一个包含JSP和Java Servlets支持的web应用程序开发套件。每个web应用程序目录下包含一个WEB-INF目录,这个目录包含有关于web应用程序类、预编译的JSP文件、服务端的库、会话的信息,以及诸如web.xml和webapp.properties之类的文件。
JRun应用服务器在处理畸形请求时存在漏洞,远程攻击者可能利用此漏洞对服务器进行拒绝服务攻击。
向JRun的Servlets发送多个畸形请求会导致应用服务器停止响应造成拒绝服务攻击。
<*来源:Allaire Security Bulleti
链接:
http://www.fusionauthority.com/Article.cfm?ArticleID=740
http://www.foundstone.com/knowledge/randd-advisories-display.html?id=237
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Foundstone提供了如下测试方法:
http://target/servlet/........... (many "."s)
建议:
厂商补丁:
Allaire
-------
Allaire已经为此发布了一个安全公告(ASB00-30)以及相应补丁:
ASB00-30:JRun 3.0: Patch available for "multiple .'s denial of service" issue
链接:
补丁下载:
Allaire JRun 3.0:
Allaire Patch TrailingDots.zip
http://download.allaire.com/patches/TrailingDots.ZIP
Allaire Patch TrailingDots.tgz
http://download.allaire.com/patches/TrailingDots.tgz浏览次数:5708
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |