Caucho Technology Resin 目录遍历漏洞

发布日期：2001-02-26
更新日期：2001-02-26

受影响系统：

Caucho Technology Resin 1.2.2
- Microsoft IIS 5.0
Microsoft Windows NT 2000
- Apache Group Apache 1.3.9

不受影响系统：

Caucho Technology Resin 1.2.3

描述：

---

BUGTRAQ ID: 2384
CVE(CAN) ID: CAN-2001-0304

Caucho Technology Resin 1.2.2存在一个安全问题。远程用户可以获取http根
目录之外的文件的读取权限。通过构造一个特别的包含'/..'或者'/...'的URL,
可能导致目录遍历。

此问题只影响在Windows NT/2000系统中安装的Resin.

<* 来源：joetesta （joetesta@hushmail.com) *>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

joetesta （joetesta@hushmail.com)提供了如下演示代码：

http://localhost:8080/\../readme.txt

建议：

---

厂商补丁：

Caucho Technology已经提供了Resin 1.2.3，此版本已经解决了此安全问题。

下载地址：
http://www.caucho.com/download/resin-1.2.3.zip

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有