xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version
 最近严重漏洞 
Microsoft RPC接口远程任意代码可执行漏洞
Cisco IOS接口不正确处理IPV4包远程拒绝服务漏洞
Microsoft Windows CreateFile API命名管道权限提升漏洞

Caucho Technology Resin Server设备名路径信息泄露漏洞


发布时间:2002-07-22
更新时间:2002-07-22
严重程度:
威胁程度:服务器信息泄露
错误类型:输入验证错误
利用方式:服务器模式

BUGTRAQ ID:5252

受影响系统
Caucho Technology Resin 2.1.1
Caucho Technology Resin 2.1.2
详细描述
当远程攻击者提交包含MS-DOS设备名的请求时,可导致泄露WEBROOT绝对路径信息给攻击者。

攻击者可以通过这个信息进一步对系统进行攻击。

测试代码
请求lpt9.xtp,会显示如下信息:

500 Servlet Exception
java.io.FileNotFoundException: C:\Documents and Settings\Administrator
\Desktop\resin-2.1.1\resin-2.1.1\doc\aux.xtp

解决方案


相关信息
Peter Gründl <pgrundl@kpmg.dk>.
参考:http://online.securityfocus.com/archive/1/282753
相关主页:http://www.caucho.com/index.xtp
Copyright © 1998-2003 XFOCUS Team. All Rights Reserved