Apache Tomcat Mod_JK /Mod_JServ存在目录遍历漏洞发布时间:2002-10-08 更新时间:2002-10-08 严重程度:中 威胁程度:远程非授权文件存取 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:5838 受影响系统 Apache Software Foundation Tomcat 3.2详细描述 Apache Tomcat存在漏洞可导致远程攻击者泄露目录内容。 这个问题影响HP-UX 11.04 (VVOS)系统上的Apache Tomcat 3.2.x,不过没有提供详细的漏洞细节。 测试代码 无 解决方案 如果Tomcat 3.2.x server使用mod_jk connector集成在内部apache web服务程序中的,在mod_jk配置文件中追加如下行: # The following line prohibits users from # exploiting the directory listing vulnerability # <LocationMatch "/(%3f|\?)\.jsp"> AllowOverride None Deny from all </LocationMatch> 如果Tomcat 3.2.x server使用mod_jserv connector集成在内部apache web服务程序中的,在mod_jserv配置文件中追加如下行: # The following line prohibits users from # exploiting the directory listing vulnerability # <LocationMatch "/(%3f|\?)\.jsp"> AllowOverride None Deny from all </LocationMatch> 补丁下载: Apache Software Foundation Tomcat 3.2: Apache Software Foundation Tomcat 3.2.1: Apache Software Foundation Tomcat 3.2.3: Apache Software Foundation Tomcat 3.2.4: HP VirtualVault 4.5: HP Patch PHSS_27921 http://itrc.hp.com HP VirtualVault 4.6: HP Patch PHSS_27922 http://itrc.hp.com 相关信息 参考:http://online.securityfocus.com/advisories/4511 |
