Allaire JRun 3.0 可被目录浏览发布时间:2000-10-25 更新时间:2000-10-25 严重程度:中 威胁程度:远程非授权文件存取 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 Allaire JRun 3.0详细描述 ALLAIRE JRUN是一个基于JSP和JAVA SERVLET开发的WEB应用套件。每个WEB应用 程序目录中包含一个WEB-INF目录,这个目录包含一些WEB应用程序的CLASS和 预编译JSP文件,服务器端库文件,会话信息和文件如web.xml,webapp.properties. JRUN包含一个漏洞允许远程用户查看WEB-INF目录内容,通过请求一个包含"/"字符的 URL,就会显示WEB-INF目录下面面的所有目录。 测试代码 http://target//WEB-INF/ 解决方案 Allaire提供了如下的补丁: Allaire JRun 3.0: Allaire patch extraslashes http://download.allaire.com/jrun/jrun3.0/extraslashes.ZIP Windows 95/98/NT/2000 and Windows NT Alpha Allaire patch extraslashes.tar http://download.allaire.com/jrun/jrun3.0/extraslashes.tar.gz UNIX/Linux patch - GNU gzip/tar 相关信息 |
