NewAtlanta ServletExec/ISAPI文件泄露漏洞发布时间:2002-05-25 更新时间:2002-05-25 严重程度:中 威胁程度:远程非授权文件存取 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:4795 受影响系统 NewAtlanta ServletExec/ISAPI 4.1详细描述 ServletExec/ISAPI是Java Servlet/JSP引擎插件,可运行在IIS WEB服务器上。 通过提交包含UNICODE编码的URL请求可导致WEBROOT中的任意文件内容泄露。但不能查看WEBROOT目录以外的文件内容。 测试代码 /servlet/com.newatlanta.servletexec.JSP10Servlet/..%5c..%5c\global.asa 解决方案 升级程序: NewAtlanta ServletExec/ISAPI 4.1: NewAtlanta Patch ServletExec_4_1p9.zip ftp://ftp.newatlanta.com/public/4_1/patches/ 相关信息 Matt Moore <matt@Westpoint.ltd.uk>. 参考:http://online.securityfocus.com/archive/1/273615 相关主页:http://www.newatlanta.com/ |
