1. 程式人生 > >Resin遠端資訊洩露漏洞

Resin遠端資訊洩露漏洞

受影響系統:

  Caucho Technology Resin v3.1.0 for Windows

  Caucho Technology Resin v3.0.21 for Windows

  Caucho Technology Resin v3.0.20 for Windows

  Caucho Technology Resin v3.0.19 for Windows

  Caucho Technology Resin v3.0.18 for Windows

  Caucho Technology Resin v3.0.17 for Windows

  Caucho Technology Resin Professional v3.1.0 for Window

  不受影響系統:

  Caucho Technology Resin v3.1.1 for Windows

  Caucho Technology Resin Professional v3.1.1 for Window

  描述:

  BUGTRAQ ID: 23980

  CVE(CAN) ID: CVE-2007-2688

  Resin是一款由Caucho Technology開發的WEB伺服器,可使用在Microsoft Windows作業系統下。

  Resin for Windows實現上存在多個漏洞,遠端攻擊者可能利用此漏洞非授權獲取敏感資訊。

  Resin沒有正確過濾通過URL傳送的輸入,允許遠端攻擊者通過在URL中提供有任意副檔名的DOS裝置檔名從系統上的任意COM或LPT裝置讀取連續的資料流、通過目錄遍歷攻擊洩露Web應用的WEB-INF目錄中的檔案內容,或通過包含有特殊字元的URL洩露到Caucho Resin伺服器的完整系統路徑。

  <*來源:Derek Abdine

  *>

  測試方法:

  警 告

  以下程式(方法)可能帶有攻擊性,僅供安全研究與教學之用。使用者風險自負!

  建議:

  廠商補丁:

  Caucho Technology

  -----------------

  廠商釋出了升級補丁以修復這個安全問題,請到廠商的主頁下載: