JSP多种web应用服务器导致JSP源码泄漏漏洞-巨人网络通讯

JSP多种web应用服务器导致JSP源码泄漏漏洞

作者：中联绿盟汉化：不详整理：JSPER

受影响的系统:
BEA Systems Weblogic 4.5.1

- Microsoft Windows NT 4.0

BEA Systems Weblogic 4.0.4

- Microsoft Windows NT 4.0

BEA Systems Weblogic 3.1.8

- Microsoft Windows NT 4.0

IBM Websphere Application Server 3.0.21

- Sun Solaris 8.0

- Microsoft Windows NT 4.0

- Linux kernel 2.3.x

- IBM AIX 4.3

Unify eWave ServletExec 3.0

- Sun Solaris 8.0

- Microsoft Windows 98

- Microsoft Windows NT 4.0

- Microsoft Windows NT 2000

- Linux kernel 2.3.x

- IBM AIX 4.3.2

- HP HP-UX 11.4

描述:

--------------------------------------------------------------------------------

　

　　很多webserver对大小写是敏感的，但对后缀的大小写映射并没有做正确的处理。只要在URL中将JSP或者JHTML文件后缀从小写变成大写，Web服务器就不能正确处理这个文件后缀，而将其做为纯文本显示，攻击者可能得到这些程序的源代码。

* 来源： stuart.mcclure@FOUNDSTONE.COM *>

--------------------------------------------------------------------------------

建议:

Unify eWave ServletExec:

Unify说缺省安装的Servlet不会泄漏源代码

BEA Systems Weblogic:

临时解决办法：

对所有的可能的大小写后缀增加handler处理：

.jsp 文件:

.jsp .Jsp .jSp .jsP .JSp .jSP .JsP .JSP

.jhtml 文件：

.jhtml .Jhtml .jHtml .jhTml .jhtMl .jhtmL .JHtml .JhTml

.JhtMl .JhtmL .jHTml .jHtMl .jHtmL .jhTMl .jhTmL .jhtML

.JHTml .JHtMl .JHtmL .JhTMl .JhTmL .JhtML .jHTMl .jHTmL

.jHtML .jhTML .JHTMl .JHTmL .JhTML .jHTML .JHTML

厂商已经提供一个针对3.1.8版本的补丁，可以在下列地址下载：

ftp://ftpna.beasys.com/pub/releases/318/caseSensitiveNTFix318.zip

IBM WebSphere Application Server:

IBM已经提供了相应的补丁程序，地址在：

http://www-4.ibm.com/software/webservers/appserv/efix.html

更新日期：2000-07-12 摘自：绿色兵团

您可能感兴趣的文章:

JSP生成jpeg图片用于投票
JSP学习之Java Web中的安全控制实例详解
jsp web.xml文件的作用及基本配置
JSP技术生成动态web页面
利用JSP建立Web站点
JSP实现的简单Web投票程序代码

标签：玉树广元绍兴潮州肇庆保定吴忠北海

巨人网络通讯声明：本文标题《JSP多种web应用服务器导致JSP源码泄漏漏洞》，本文关键词 JSP,多种,web,应用,服务器,；如发现本文内容存在版权问题，烦请提供相关信息告之我们，我们将及时沟通与处理。本站内容系统采集于网络，涉及言论、版权与本站无关。