New Atlanta ServletExec未授权访问漏洞
2008-04-09 04:26:28来源:互联网 阅读 ()
发布日期:2004-06-30
更新日期:2004-07-07
受影响系统:
NewAtlanta ServletExec 3.0不受影响系统:
NewAtlanta ServletExec 2.2
NewAtlanta ServletExec 4.1描述:
NewAtlanta ServletExec 3.0 E
BUGTRAQ ID: 10639
CVE(CAN) ID: CVE-2004-0650
Cisco Collaboration Server使用了New Atlanta提供的ServletExec子组件。
早于5.0的CCS服务程序包含的ServletExec存在访问验证错误,远程攻击者可以利用这个漏洞上传文件并获得管理员权限。
通过ServletExec,攻击者可以上传文件到WEB服务器,并调用它们。攻击者可以提交 http://<ccsservername>/servlet/UploadServlet URL请求来判断漏洞是否存在,如果结果是NullPointerException,那么表示漏洞存在,如果显示‘Page Not Found error’,表示漏洞不存在。
<*来源:Cisco PSIRT (psirt@cisco.com)
链接:http://www.cisco.com/warp/public/707/cisco-sa-20040630-CCS.shtml
*>
建议:
厂商补丁:
Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20040630-CCS)以及相应补丁:
cisco-sa-20040630-CCS:Cisco Collaboration Server Vulnerability
链接:http://www.cisco.com/warp/public/707/cisco-sa-20040630-CCS.shtml
针对CCS 3.x执行如下步骤:
1. 停止IIS.
2. 运行解压缩工具打开ServletExec22.jar到如下目录:
C:\Program Files\new atlanta\servletexec ISAPI\lib
3. 删除UploadServlet.class.
4. 保存ServletExec22.jar到它的原始位置并退出Winzip
5. 重启IIS.
针对CCS 4.x执行如下步骤:
1. S停止IIS.
2. 运行解压缩工具打开ServletExec30.jar到如下目录
C:\Program Files\new atlanta\servletexec ISAPI\lib
3. 删除UploadServlet.class.
4. 保存ServletExec22.jar到它的原始位置并退出Winzip
5. 重启IIS.
客户可以联系供应商获得相关补丁。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
