Allaire JRUN 2.3远程执行任意命令漏洞

糖出水芙蓉

糖出水芙蓉

2016-02-19 15:13

下面图老师小编要向大家介绍下Allaire JRUN 2.3远程执行任意命令漏洞,看起来复杂实则是简单的,掌握好技巧就OK,喜欢就赶紧收藏起来吧!
涉及程序:
  JRUN
  
  描述:
  Allaire JRUN 2.3远程执行任意命令漏洞
  
  详细:
  Allaire 的 JRUN 服务器 2.3上存在一个安全漏洞,允许远程用户把在 WEB 服务器上的任意文件作为JSP代码编译/执行。
  
  如果URL请求的目标文件使用了前缀"/servlet/",则JSP解释执行功能被激活。这时在用户请求的目标文件路径中使用"../",就有可能访问到 WEB 服务器上根目录以外的文件。在目标主机上利用该漏洞请求用户输入产生的一个文件,将严重威胁到目标主机系统的安全。
  
  例如:
  http://jrun:8000/servlet/com.livesoftware.jrun.plugins.jsp.JSP/../../path/to /temp.txt
  
  http://jrun:8000/servlet/jsp/../../path/to/temp.txt
  
  受影响的系统:
  Allaire JRun 2.3.x
  
  解决方案:
  下载并安装补丁:
  Allaire patch jr233p_ASB00_28_29
  http://download.allaire.com/jrun/jr233p_ASB00_28_29.zip
  Windows 95/98/NT/2000 and Windows NT Alpha
  
  Allaire patch jr233p_ASB00_28_29tar
  http://download.allaire.com/jrun/jr233p_ASB00_28_29.tar.gz
  UNIX/Linux patch - GNU gzip/tar
  
  
展开更多 50%)
分享

猜你喜欢

Allaire JRUN 2.3远程执行任意命令漏洞

Web开发
Allaire JRUN 2.3远程执行任意命令漏洞

Allaire JRUN 2.3 查看任意文件漏洞

Java JAVA基础
Allaire JRUN 2.3 查看任意文件漏洞

s8lol主宰符文怎么配

英雄联盟 网络游戏
s8lol主宰符文怎么配

Win2k IIS 远程执行命令漏洞

ASP
Win2k IIS 远程执行命令漏洞

Sun Java Web Server 能让攻击者远程执行任意命令

Java JAVA基础
Sun Java Web Server 能让攻击者远程执行任意命令

lol偷钱流符文搭配推荐

英雄联盟 网络游戏
lol偷钱流符文搭配推荐

Windows下PHP的任意文件执行漏洞

PHP
Windows下PHP的任意文件执行漏洞

JRun2.3平台介绍

Java JAVA基础
JRun2.3平台介绍

lolAD刺客新符文搭配推荐

英雄联盟
lolAD刺客新符文搭配推荐

Delphi.NET多层应用系统开发技术研讨

Delphi.NET多层应用系统开发技术研讨

几种检查调试CSS布局的有效方法

几种检查调试CSS布局的有效方法
下拉加载更多内容 ↓