【綠盟科技授權,賽迪發佈,謝絕任何網站轉載,違者,賽迪網將保留追究其法律責任的權利!】
【賽迪網-IT技術報道】Apache Tomcat是一個流行的開放源碼的JSP應用伺服器程序。Tomcat處理請求中的編碼時存在漏洞,如果在context.xml或server.xml中將allowLinking設置為true且連接器配置為URIEncoding=UTF-8的話,則向Apache Tomcat提交惡意請求就可以通過目錄遍歷攻擊讀取伺服器上的任意文件,包括/etc/passwd等。
發佈日期:2008-08-11
更新日期:2008-08-12
受影響系統:
Apache Tomcat 6.x
Apache Tomcat 5.x
Apache Tomcat 4.x
描述:
----------------------------------------------------------------------------
BUGTRAQ ID: 30633
CVE(CAN) ID: CVE-2008-2938
Apache Tomcat是一個流行的開放源碼的JSP應用伺服器程序。
Tomcat處理請求中的編碼時存在漏洞,如果在context.xml或server.xml中將allowLinking設置為true且連接器配置為URIEncoding=UTF-8的話,則向Apache Tomcat提交惡意請求就可以通過目錄遍歷攻擊讀取伺服器上的任意文件,包括/etc/passwd等。
<*來源:Simon Ryeo ([email protected])
鏈接:http://marc.info/?l=bugtraq&m=121848617930443&w=2
http://tomcat.apache.org/security-6.html
*>
建議:
----------------------------------------------------------------------------
廠商補丁:
Apache
------
目前廠商已經發佈了升級補丁以修復這個安全問題,請到廠商的主頁下載:
http://tomcat.apache.org/security.html
(