Allair JRUN 非法讀取 WEB-INF 漏洞 

2019-11-18 21:49:49

字體：大中小

來源：轉載

供稿：網友

涉及程序：
JRUN

描述：
Allair JRUN 非法讀取 WEB-INF 漏洞

詳細：
在Allaire 的 JRUN 服務器 2.3版本中存在一個嚴重的安全漏洞。它允許一個攻擊者在 JRun 3.0 服務器中查看 WEB-INF 目錄。

如果用戶在提交 URL 請求時在，通過附加一個“/”使該 URL 成為畸形的 URL，這時 WEB-INF 下的所有子目錄將會暴露出來。攻擊者巧妙的利用該漏洞將能夠遠程獲得目標主機系統中 WEB-INF 目錄下的所有文件的讀取權限。

例如使用下面這個 URL 將會暴露 WEB-INF 下的所有文件：
http://site.running.jrun:8100//WEB-INF/

受影響的系統：
Allaire JRun 3.0

解決方案：
下載并安裝補丁：
Allaire patch jr233p_ASB00_28_29
http://download.allaire.com/jrun/jr233p_ASB00_28_29.zip
Windows 95/98/NT/2000 and Windows NT Alpha

Allaire patch jr233p_ASB00_28_29tar
http://download.allaire.com/jrun/jr233p_ASB00_28_29.tar.gz
UNIX/linux patch - GNU gzip/tar

上一篇：Allaire JRUN 2.3遠程執行任意命令漏洞

下一篇：Allaire JRUN 2.3 查看任意文件漏洞