发布日期：2000-06-23
更新日期：2000-06-23

受影响系统：

Allaire JRun 2.3.x
   - Sun Solaris 7.0
   - Sun Solaris 2.6
   - SGI IRIX 6.5
   - RedHat Linux 6.x
   - Microsoft Windows 9x
   - Microsoft Windows NT 4.0
   - Microsoft Windows NT 2000
   - IBM AIX 4.x

描述：

---

Allaire JRun 2.3.x 安装时如果将一些教程，范例代码以及应用程序也装到了
服务器上，可能导致泄漏服务器的一些敏感信息，例如系统配置或者执行某些命令等
等。这些存在安全问题的范例代码，应该手工删除。

<* 来源：Allaire Security Bulletin (ASB00-15)  *>







测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

例如：

1)访问 http://target/servlet/SessionServlet将会显示所有当前的Http会话的id号。

2) viewsource.jsp 缺省没有禁止路径检查，这可能允许远程用户察看服务器上任意文件。



建议：

---

Allaire 将在新推出的JRun 2.3.3版中解决这个问题，它将于今年晚些时候发布

临时解决办法：

从服务器上删除所有的文档，范例代码，例子以及教程，应该被删除的文件在下列目录中：
JRUN_HOME/servlets
JRUN_HOME/jsm-default/services/jws/htdocs

关于删除文档的更详细的介绍，可以看下列地址的说明：
http://www.allaire.com/Handlers/index.cfm?ID=16258&Method=Full


浏览次数：9666
严重程度：0（网友投票）