NewAtlanta ServletExec/ISAPI路径泄露漏洞发布时间:2002-05-25 更新时间:2002-05-25 严重程度:中 威胁程度:服务器信息泄露 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:4793 受影响系统 NewAtlanta ServletExec/ISAPI 4.1详细描述 ServletExec/ISAPI是Java Servlet/JSP引擎插件,可运行在IIS WEB服务器上。 通过提交特殊的URL请求直接调用'com.newatlanta.servletexec.JSP10Servlet' 而不提交文件名的话,就会返回包含WEB ROOT的路径信息. 测试代码 /servlet/com.newatlanta.servletexec.JSP10Servlet/ 会出现如下信息: Error. The file was not found. (filename = f:\inetpub\wwwroot\servlet\com.newatlanta.servletexec.JSP10Servlet\) 解决方案 升级程序: NewAtlanta ServletExec/ISAPI 4.1: NewAtlanta Patch ServletExec_4_1p9.zip ftp://ftp.newatlanta.com/public/4_1/patches/ 相关信息 Matt Moore <matt@Westpoint.ltd.uk>. 参考:http://online.securityfocus.com/archive/1/273615 相关主页:http://www.newatlanta.com/ |
