繁体中文
设为首页
加入收藏
.Net技术首页 | .NET Framework | Asp.Net开发 | C#语言 | VB.Net语言 | Web Service开发 | 数据库应用 | 报表/图形/Office | E-mail专题 | Windows开发 | XML应用 | 安全和优化 | 安装和部署 | 文件IO | 算法/线程 | 组件控件开发 | 远程及网络应用 | 面向对象编程 | 评论及其它 | 分类 | 专题 | 留言本 | 投稿 | 搜索
当前位置:.Net技术首页 >> Asp.Net开发 >> Allaire JRUN 2.3远程执行任意命令漏洞

Allaire JRUN 2.3远程执行任意命令漏洞

2007-04-15 08:00:00  作者:  来源:互联网  浏览次数:0  文字大小:【】【】【
简介:涉及程序: JRUN 描述: Allaire JRUN 2.3远程执行任意命令漏洞 详细: Allaire 的 JRUN 服务器 2.3上存在一个安全漏洞,允许远程用户把在 WEB 服务器上的任意文件作为JSP代码编译/执行。 如果URL请求的目标文件...
关键字:漏洞 远程 任意 命令 Allaire JRUN 2.3

涉及程序:

JRUN

描述:

Allaire JRUN 2.3远程执行任意命令漏洞

详细:

Allaire 的 JRUN 服务器 2.3上存在一个安全漏洞,允许远程用户把在 WEB 服务器上的任意文件作为JSP代码编译/执行。

如果URL请求的目标文件使用了前缀"/servlet/",则JSP解释执行功能被激活。这时在用户请求的目标文件路径中使用"../",就有可能访问到 WEB 服务器上根目录以外的文件。在目标主机上利用该漏洞请求用户输入产生的一个文件,将严重威胁到目标主机系统的安全。

例如:

http://jrun:8000/servlet/com.livesoftware.jrun.plugins.JSP.JSP/../../path/to /temp.txt

http://jrun:8000/servlet/JSP/../../path/to/temp.txt

受影响的系统:

Allaire JRun 2.3.x

解决方案:

下载并安装补丁:

Allaire patch jr233p_ASB00_28_29

http://download.allaire.com/jrun/jr233p_ASB00_28_29.zip

Windows 95/98/NT/2000 and Windows NT Alpha

Allaire patch jr233p_ASB00_28_29tar

http://download.allaire.com/jrun/jr233p_ASB00_28_29.tar.gz

UNIX/Linux patch - GNU gzip/tar

责任编辑:admin
本文引用地址: http://www.3pcode.com/net/2007/04/85045.htm
相关文章

最新文章

更多

推荐文章

更多

热点文章

更多