Allaire JRun 2.3.x样本文件漏洞发布时间:2000-09-15 更新时间:2000-09-15 严重程度:中 威胁程度:远程非授权文件存取 错误类型:设计错误 利用方式:服务器模式 受影响系统 Allaire JRun 2.3.x详细描述 在Allaire JRun2.3.x中,当文档,样本代码,例子和应用程序作为文档指南提供在主机服务器上时,远程用户可以利用这些样本文件来查看文件系统中一些秘密信息和一些系统配置文件或者在服务器上执行其他各种功能: --http://target/servlet/SessionServlet 可以显示所有当前服务器所维护的HttpSession ids; --viewsource.jsp的路径检查默认状态下是不可用的,这可导致远程用户来查看服务器上的所有内容。 测试代码 见描述部分。 解决方案 Allaire临时建议去掉所有文档,样本代码,和例子。所以文件在目录JRUN_HOME/servletes和JRUN_HOME/jsm-default/services/jws/htdocs 下。大家也可以查看下面的建议: http://www.allaire.com/Handlers/index.cfm?ID=16258&Method=Full 相关信息 |
