|
|
作者:中聯(lián)綠盟 漢化:不詳 整理:JSPER
受影響的系統(tǒng):
BEA Systems Weblogic 4.5.1
- Microsoft Windows NT 4.0
BEA Systems Weblogic 4.0.4
- Microsoft Windows NT 4.0
BEA Systems Weblogic 3.1.8
- Microsoft Windows NT 4.0
IBM Websphere Application Server 3.0.21
- Sun Solaris 8.0
- Microsoft Windows NT 4.0
- Linux kernel 2.3.x
- IBM AIX 4.3
Unify eWave ServletExec 3.0
- Sun Solaris 8.0
- Microsoft Windows 98
- Microsoft Windows NT 4.0
- Microsoft Windows NT 2000
- Linux kernel 2.3.x
- IBM AIX 4.3.2
- HP HP-UX 11.4
描述:
--------------------------------------------------------------------------------
很多webserver對(duì)大小寫是敏感的,但對(duì)后綴的大小寫映射并沒有做正確的處理。只要在URL中將JSP或者JHTML文件后綴從小寫變成大寫,Web服務(wù)器就不能正確處理這個(gè)文件后綴,而將其做為純文本顯示,攻擊者可能得到這些程序的源代碼。
<* 來源: stuart.mcclure@FOUNDSTONE.COM *>
--------------------------------------------------------------------------------
建議:
Unify eWave ServletExec:
Unify說缺省安裝的Servlet不會(huì)泄漏源代碼
BEA Systems Weblogic:
臨時(shí)解決辦法:
對(duì)所有的可能的大小寫后綴增加handler處理:
.jsp 文件:
.jsp .Jsp .jSp .jsP .JSp .jSP .JsP .JSP
.jhtml 文件:
.jhtml .Jhtml .jHtml .jhTml .jhtMl .jhtmL .JHtml .JhTml
.JhtMl .JhtmL .jHTml .jHtMl .jHtmL .jhTMl .jhTmL .jhtML
.JHTml .JHtMl .JHtmL .JhTMl .JhTmL .JhtML .jHTMl .jHTmL
.jHtML .jhTML .JHTMl .JHTmL .JhTML .jHTML .JHTML
廠商已經(jīng)提供一個(gè)針對(duì)3.1.8版本的補(bǔ)丁,可以在下列地址下載:
ftp://ftpna.beasys.com/pub/releases/318/caseSensitiveNTFix318.zip
IBM WebSphere Application Server:
IBM已經(jīng)提供了相應(yīng)的補(bǔ)丁程序,地址在:
http://www-4.ibm.com/software/webservers/appserv/efix.html
更新日期:2000-07-12 摘自:綠色兵團(tuán)
jsp技術(shù):JSP多種web應(yīng)用服務(wù)器導(dǎo)致JSP源碼泄漏漏洞,轉(zhuǎn)載需保留來源!
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除,多謝。
