Apache HTTP Server Tomcat目录访问漏洞
受影响系统: <BR>Apache Tomcat 6.x < 6.0.10 <BR>Apache Tomcat 5.x < 5.5.22 <BR>描述: <BR>Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。 <BR>Apache Tomcat在处理用户请求中的目录字串时存在漏洞,远程攻击者可能利用此漏洞访问受保护的文件。 <BR>如果将Apache HTTP服务器和Tomcat配置为与常见的代理模块(mod_proxy、mod_rewrite、mod_jk)交互操作的话,攻击者就可以非授权访问预期目标路径以外的目录,直至Tomcat中的Web根目录。Apache中可接受的唯一目录分隔字符是斜线(/),但Tomcat允许URI编码的字符,如“/”、“\”或“%5C”等,这允许攻击者通过特制的HTTP请求执行访问受保护的文件。 <BR><*来源:David Matscheko <BR><BR> 链接:<A href="http://marc.info/?l=bugtraq" target=_blank>http://marc.info/?l=bugtraq</A>&m=117399749403510&w=2 <BR><BR> *> <BR><BR> 建议: <BR><BR> 厂商补丁: <BR><BR> Apache <BR><BR> 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: <BR><BR> <A href="http://gulus.usherbrooke.ca/pub/appl/apache/tomcat/tomcat-5/v5.5.23/bin/apache-tomcat-5.5.23.tar.gz" target=_blank target=_blank>http://gulus.usherbrooke.ca/pub/appl/apache/tomcat/tomcat-5/v5.5.23/bin/apache-tomcat-5.5.23.tar.gz</A> <BR><BR> <A href="http://apache.mirror.rafal.ca/tomcat/tomcat-6/v6.0.10/bin/apache-tomcat-6.0.10.tar.gz" target=_blank target=_blank>http://apache.mirror.rafal.ca/tomcat/tomcat-6/v6.0.10/bin/apache-tomcat-6.0.10.tar.gz</A><BR>re:Apache HTTP Server Tomcat目录访问漏洞
<P>强</P>
页:
[1]