发布日期：2003-06-01
更新日期：2003-06-06

受影响系统：

Apache Software Foundation Tomcat 4.0.6

不受影响系统：

Apache Software Foundation Tomcat 4.1.24

描述：

---

BUGTRAQ  ID: 7768

Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。

Apache Tomcat安装的/opt/tomcat/目录权限不安全，本地攻击者可以利用这个漏洞访问此目录获得敏感信息，如验证密码等信息。

此漏洞存在于Gentoo Linux系统上的Apache Tomcat，其他的版本目前还不清楚是否受此漏洞影响。

<*来源：GENTOO LINUX SECURITY ANNOUNCEMENT
  
  链接：http://www.securityfocus.com/advisories/5430
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 使用如下方法删除可读写权限：

/etc/init.d/tomcat stop
chmod -R 750 /opt/tomcat/
/etc/init.d/tomcat start

厂商补丁：

Apache Software Foundation
--------------------------
Gentoo Linux 用户可以通过如下命令升级tomcat-4.1.24-r1：

emerge sync
emerge tomcat
emerge clean

浏览次数：3892
严重程度：0（网友投票）