程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> JSP編程 >> 關於JSP >> Allair JRUN 非法讀取 WEB-INF 漏洞

Allair JRUN 非法讀取 WEB-INF 漏洞

編輯:關於JSP

涉及程序:
JRUN

描述:
Allair JRUN 非法讀取 WEB-INF 漏洞

詳細:
在Allaire 的 JRUN 服務器 2.3版本中存在一個嚴重的安全漏洞。它允許一個攻擊者在 JRun 3.0 服務器中查看 WEB-INF 目錄。

如果用戶在提交 URL 請求時在,通過附加一個“/”使該 URL 成為畸形的 URL,這時 WEB-INF 下的所有子目錄將會暴露出來。攻擊者巧妙的利用該漏洞將能夠遠程獲得目標主機系統中 WEB-INF 目錄下的所有文件的讀取權限。

例如使用下面這個 URL 將會暴露 WEB-INF 下的所有文件:
http://site.running.jrun:8100//WEB-INF/

受影響的系統:
Allaire JRun 3.0

解決方案:
下載並安裝補丁:
Allaire patch jr233p_ASB00_28_29
http://download.allaire.com/jrun/jr233p_ASB00_28_29.zip
Windows 95/98/NT/2000 and Windows NT Alpha

Allaire patch jr233p_ASB00_28_29tar
http://download.allaire.com/jrun/jr233p_ASB00_28_29.tar.gz
UNIX/Linux patch - GNU gzip/tar


  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved