Allaire JRun JSP源代码泄露漏洞

/ns/wz/sys/data/20011218210123.htm

Allaire JRun JSP源代码泄露漏洞

发布日期: 2001-12-6

更新日期: 2001-12-18
受影响的系统: Allaire JRun 3.1
- IBM AIX 4.2
- IBM AIX 4.3
- Microsoft Windows 95
- Microsoft Windows 98
- Microsoft Windows 2000
- Microsoft Windows 2000 SP1
- Microsoft Windows 2000 SP2
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0SP1
- Microsoft Windows NT 4.0SP2
- Microsoft Windows NT 4.0SP3
- Microsoft Windows NT 4.0SP4
- Microsoft Windows NT 4.0SP5
- Microsoft Windows NT 4.0SP6
- Microsoft Windows NT 4.0SP6a
- RedHat Linux 6.0 alpha
- RedHat Linux 6.0 i386
- RedHat Linux 6.0 sparc
- RedHat Linux 6.1 alpha
- RedHat Linux 6.1 i386
- RedHat Linux 6.1 sparc
- SGI IRIX 6.5
- Sun Solaris 7.0
- Sun Solaris 8.0

描述:
--------------------------------------------------------------------------------

BUGTRAQ ID: 3662

Allaire JRun是JSP和Java Servlet的Web应用程序开发套件,每个Web应用程序目录都
存在一个“WEB-INF”或“META-INF”目录,这些目录通常包含Web应用程序类文件,预
编译的JSP文件,服务端的库文件,Session信息或者“web.xml”和
“webapp.properties”等配置信息。

该软件存在一个安全问题,可能导致JSP文件源代码泄露。

通过发送一个精心构造的请求,远程攻击者可能获得任何目录下的JSP文件。

<*来源:Macromedia Security Alert
(newsflash@macromedia.com)
链接:http://archives.neohapsis.com/archives/bugtraq/2001-12/0091.html

http://www.allaire.com/handlers/index.cfm?ID=17966&Method=Full

http://www.foundstone.com/cgi-bin/display.cgi?Content_ID=231

http://www.allaire.com/handlers/index.cfm?ID=22262&Method=Full
*>




--------------------------------------------------------------------------------
建议:
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 暂时换用其它安全的JSP服务器,如Apache Tomcat等

厂商补丁:

目前厂商已经发布了补丁以修复此安全问题,请立刻到厂商的主页下载:

Macromedia Patch JRun Win32 jrun-31-win-upgrade-us_26414.exe
http://download.allaire.com/publicdl/en/jrun/31/jrun-31-win-upgrade-us_26414.exe

Macromedia Upgrade JRun Unix jrun-31-unix-upgrade-us_26414.sh
http://download.allaire.com/publicdl/en/jrun/31/jrun-31-unix-upgrade-us_26414.sh