Allair JRUN 非法读取 WEB-INF 漏洞

静夜思2850

静夜思2850

2016-01-29 12:47

Allair JRUN 非法读取 WEB-INF 漏洞,Allair JRUN 非法读取 WEB-INF 漏洞
涉及程序:
JRUN

描述:
Allair JRUN 非法读取 WEB-INF 漏洞

详细:
在Allaire 的 JRUN 服务器 2.3版本中存在一个严重的安全漏洞。它允许一个攻击者在 JRun 3.0 服务器中查看 WEB-INF 目录。

(本文来源于图老师网站,更多请访问https://m.tulaoshi.com/java/)

如果用户在提交 URL 请求时在,通过附加一个“/”使该 URL 成为畸形的 URL,这时 WEB-INF 下的所有子目录将会暴露出来。攻击者巧妙的利用该漏洞将能够远程获得目标主机系统中 WEB-INF 目录下的所有文件的读取权限。

(本文来源于图老师网站,更多请访问https://m.tulaoshi.com/java/)

例如使用下面这个 URL 将会暴露 WEB-INF 下的所有文件:
http://site.running.jrun:8100//WEB-INF/

受影响的系统:
Allaire JRun 3.0

解决方案:
下载并安装补丁:
Allaire patch jr233p_ASB00_28_29
http://download.allaire.com/jrun/jr233p_ASB00_28_29.zip
Windows 95/98/NT/2000 and Windows NT Alpha

Allaire patch jr233p_ASB00_28_29tar
http://download.allaire.com/jrun/jr233p_ASB00_28_29.tar.gz
UNIX/Linux patch - GNU gzip/tar

展开更多 50%)
分享

猜你喜欢

Allair JRUN 非法读取 WEB-INF 漏洞

Java JAVA基础
Allair JRUN 非法读取 WEB-INF 漏洞

Allaire JRUN 2.3远程执行任意命令漏洞

Web开发
Allaire JRUN 2.3远程执行任意命令漏洞

s8lol主宰符文怎么配

英雄联盟 网络游戏
s8lol主宰符文怎么配

Allaire JRUN 2.3 查看任意文件漏洞

Java JAVA基础
Allaire JRUN 2.3 查看任意文件漏洞

JRun常见问题回答

Java JAVA基础
JRun常见问题回答

lol偷钱流符文搭配推荐

英雄联盟 网络游戏
lol偷钱流符文搭配推荐

ASP漏洞集-Carello Web 使 ASP 源码暴露(APP,缺陷)

ASP
ASP漏洞集-Carello Web 使 ASP 源码暴露(APP,缺陷)

ASP漏洞集-通过asp入侵web server,窃取文件毁坏系统

ASP
ASP漏洞集-通过asp入侵web server,窃取文件毁坏系统

lolAD刺客新符文搭配推荐

英雄联盟
lolAD刺客新符文搭配推荐

Flash MX 2004 ActionScript图文教程(一)

Flash MX 2004 ActionScript图文教程(一)

Resin 1.2 重要源代码暴露漏洞

Resin 1.2 重要源代码暴露漏洞
下拉加载更多内容 ↓