it技术指南:www.itedus.com
  • 信息订阅

IT指南

  • TNT五分钟问卷赢IPOD
  • 贝塔斯曼
  • 广告联盟
  • No pay, More gain!
  • 单价15元-网络广告平台
  • 注册阿里妈妈赚广告费
  • 首页
  • 新闻资讯
  • 网页制作
  • 软件使用
  • 操作系统
  • 软件编程
  • 网络编程
  • 图象处理
  • 网站欣赏
  • 数据库
  • 认证考试
  • 站长知识
正在浏览栏目导航:首页 > 网络编程 > Jsp >

Allaire JRUN 2.3远程执行任意命令漏洞

时间:2007-12-12 10:54:50   来源:本站原创  作者:IT爱好者

涉及程序:
JRUN

描述:
Allaire JRUN 2.3远程执行任意命令漏洞

详细:
Allaire 的 JRUN 服务器 2.3上存在一个安全漏洞,允许远程用户把在 WEB 服务器上的任意文件作为JSP代码编译/执行。

如果URL请求的目标文件使用了前缀"/servlet/",则JSP解释执行功能被激活。这时在用户请求的目标文件路径中使用"../",就有可能访问到 WEB 服务器上根目录以外的文件。在目标主机上利用该漏洞请求用户输入产生的一个文件,将严重威胁到目标主机系统的安全。

例如:
http://jrun:8000/servlet/com.livesoftware.jrun.plugins.jsp.JSP/../../path/to /temp.txt

http://jrun:8000/servlet/jsp/../../path/to/temp.txt

受影响的系统:
Allaire JRun 2.3.x

解决方案:
下载并安装补丁:
Allaire patch jr233p_ASB00_28_29
http://download.allaire.com/jrun/jr233p_ASB00_28_29.zip
Windows 95/98/NT/2000 and Windows NT Alpha

Allaire patch jr233p_ASB00_28_29tar
http://download.allaire.com/jrun/jr233p_ASB00_28_29.tar.gz
UNIX/Linux patch - GNU gzip/tar


关键字:
关闭此页
上一篇:Allair JRUN 非法读取 WEB-INF 漏洞 
下一篇:Apache泄露重写的任意文件漏洞 

相关文章

    无相关信息
本栏目推荐

排行榜

  • 1Allaire JRUN 2.3 查看任意文件漏洞
  • 2apache tomcat的snoop servlet漏洞&nb
  • 3Unify的eWave ServletExec拒绝服务漏洞
  • 4IBM HTTP Server 远程溢出漏洞 
  • 5IBM WebSphere源代码暴露漏洞 
  • 6jsp2.0新特性
  • 7Servlet和JSP迈上新台阶
  • 8JSP 2.1技术规范投票通过 表达式语言有

最新信息

  • Sun认为C#不会替代Java 
  • iPlanet Web Server 缓冲区溢出漏洞&nb
  • Allair JRUN 非法读取 WEB-INF 漏洞&nb
  • Jsp安全性初探 
  • Apache泄露重写的任意文件漏洞 
  • Allaire JRUN 2.3远程执行任意命令漏洞
  • IBM WebSphere Application Server 3.0
  • JRun 2.3.x 范例文件暴露站点安全信息
关于站点 - 广告服务 - 联系我们 - 返回顶部
Copyright © 2007 www.itedus.com . All rights reserved.QQ群:8814225
如果碰到相关技术问题可以联系我们,原创相关问题请与站长及时联系.鄂ICP备07005792号