Apache Tomcat伺服器程序UTF-8目錄遍歷漏洞

【綠盟科技授權，賽迪發佈，謝絕任何網站轉載，違者，賽迪網將保留追究其法律責任的權利！】

【賽迪網-IT技術報道】Apache Tomcat是一個流行的開放源碼的JSP應用伺服器程序。Tomcat處理請求中的編碼時存在漏洞，如果在context.xml或server.xml中將allowLinking設置為true且連接器配置為URIEncoding=UTF-8的話，則向Apache Tomcat提交惡意請求就可以通過目錄遍歷攻擊讀取伺服器上的任意文件，包括/etc/passwd等。

發佈日期：2008-08-11

更新日期：2008-08-12

受影響系統：

Apache Tomcat 6.x

Apache Tomcat 5.x

Apache Tomcat 4.x

描述：

----------------------------------------------------------------------------

BUGTRAQ ID: 30633

CVE(CAN) ID: CVE-2008-2938

Apache Tomcat是一個流行的開放源碼的JSP應用伺服器程序。

Tomcat處理請求中的編碼時存在漏洞，如果在context.xml或server.xml中將allowLinking設置為true且連接器配置為URIEncoding=UTF-8的話，則向Apache Tomcat提交惡意請求就可以通過目錄遍歷攻擊讀取伺服器上的任意文件，包括/etc/passwd等。

<*來源：Simon Ryeo （[email protected]）

鏈接：http://marc.info/?l=bugtraq&m=121848617930443&w=2

http://tomcat.apache.org/security-6.html

*>

建議：

----------------------------------------------------------------------------

廠商補丁：

Apache

------

目前廠商已經發佈了升級補丁以修復這個安全問題，請到廠商的主頁下載：

http://tomcat.apache.org/security.html

(