程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> JSP編程 >> 關於JSP >> Unify的eWave ServletExec拒絕服務漏洞

Unify的eWave ServletExec拒絕服務漏洞

編輯:關於JSP

涉及程序:
eWave ServletExec

描述:
Unify的eWave ServletExec拒絕服務漏洞

詳細:
Unify的eWave ServletExec是一個JSP和Java Servlet引擎,它們被用作象Apache、IIS、Netscape等等流行的網絡服務器的插件。

發送一個URL請求可能引起ServletExec servlet引擎突然終止,但是web服務器不會受到影響。

可以通過在URL前加上servlet路徑前綴“/servlet”這樣可以強制調用任意的servlet。一個名為“ServletExec”的servlet存在於服務端。

強制執行“ServletExec”servlet將導致servlet引擎初始化並試圖在80口上綁定一個服務器線程。如果服務器已經運行,端口綁定操作將導致servlet引擎異常終止。

例如,如果ServletExec作為80端口上的web服務器插件運行在10.0.0.1上,攻擊者可打開一個80端口的連接,發出如下的GET請求使servlet引擎異常終止。
nc 10.0.0.1 80
GET /servlet/ServletExec HTTP/1.0
或者從浏覽器中存取URL:http://10.0.0.1/servlet/ServletExec 也能達到相同的效果。

日志文件中將記錄如下內容:
Received an exception when starting ServletExec:
java.net.BindException:
Address in use: bind

受影響的系統:
Unify eWave ServletExec 3.0C

解決方案:
升級到 ServletExec 3.0E 版本:
http://www.servletexec.com/downloads/


  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved