程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> JSP編程 >> 關於JSP >> JSP多種web應用服務器導致JSP源碼洩漏漏洞

JSP多種web應用服務器導致JSP源碼洩漏漏洞

編輯:關於JSP
JSP多種web應用服務器導致JSP源碼洩漏漏洞

作者:中聯綠盟 漢化:不詳 整理:JSPER


受影響的系統:
BEA Systems Weblogic 4.5.1

- Microsoft Windows NT 4.0

BEA Systems Weblogic 4.0.4

- Microsoft Windows NT 4.0

BEA Systems Weblogic 3.1.8

- Microsoft Windows NT 4.0

IBM Websphere Application Server 3.0.21

- Sun Solaris 8.0

- Microsoft Windows NT 4.0

- Linux kernel 2.3.x

- IBM AIX 4.3

Unify eWave ServletExec 3.0

- Sun Solaris 8.0

- Microsoft Windows 98

- Microsoft Windows NT 4.0

- Microsoft Windows NT 2000

- Linux kernel 2.3.x

- IBM AIX 4.3.2

- HP HP-UX 11.4

描述:

--------------------------------------------------------------------------------

 

  很多webserver對大小寫是敏感的,但對後綴的大小寫映射並沒有做正確的處理。只要在URL中將JSP或者JHTML文件後綴從小寫變成大寫,Web服務器就不能正確處理這個文件後綴,而將其做為純文本顯示,攻擊者可能得到這些程序的源代碼。

<* 來源: [email protected] *>

--------------------------------------------------------------------------------

建議:

Unify eWave ServletExec:

Unify說缺省安裝的Servlet不會洩漏源代碼

BEA Systems Weblogic:

臨時解決辦法:

對所有的可能的大小寫後綴增加handler處理:

.jsp 文件:

.jsp .Jsp .jSp .jsP .JSp .jSP .JsP .JSP

.jhtml 文件:

.jhtml .Jhtml .jHtml .jhTml .jhtMl .jhtmL .JHtml .JhTml

.JhtMl .JhtmL .jHTml .jHtMl .jHtmL .jhTMl .jhTmL .jhtML

.JHTml .JHtMl .JHtmL .JhTMl .JhTmL .JhtML .jHTMl .jHTmL

.jHtML .jhTML .JHTMl .JHTmL .JhTML .jHTML .JHTML

廠商已經提供一個針對3.1.8版本的補丁,可以在下列地址下載:

ftp://ftpna.beasys.com/pub/releases/318/caseSensitiveNTFix318.zip

IBM WebSphere Application Server:

IBM已經提供了相應的補丁程序,地址在:

http://www-4.ibm.com/software/webservers/appserv/efix.html

更新日期:2000-07-12                                摘自:綠色兵團
  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved