Resin远程信息泄露漏洞
2013-04-24 09:33
633 查看
受影响系统:
Caucho Technology Resin v3.1.0 for Windows
Caucho Technology Resin v3.0.21 for Windows
Caucho Technology Resin v3.0.20 for Windows
Caucho Technology Resin v3.0.19 for Windows
Caucho Technology Resin v3.0.18 for Windows
Caucho Technology Resin v3.0.17 for Windows
Caucho Technology Resin Professional v3.1.0 for Window
不受影响系统:
Caucho Technology Resin v3.1.1 for Windows
Caucho Technology Resin Professional v3.1.1 for Window
描述:
BUGTRAQ ID: 23980
CVE(CAN) ID: CVE-2007-2688
Resin是一款由Caucho Technology开发的WEB服务器,可使用在Microsoft Windows操作系统下。
Resin for Windows实现上存在多个漏洞,远程攻击者可能利用此漏洞非授权获取敏感信息。
Resin没有正确过滤通过URL传送的输入,允许远程攻击者通过在URL中提供有任意扩展名的DOS设备文件名从系统上的任意COM或LPT设备读取连续的数据流、通过目录遍历攻击泄露Web应用的WEB-INF目录中的文件内容,或通过包含有特殊字符的URL泄露到Caucho Resin服务器的完整系统路径。
<*来源:Derek Abdine
链接:http://secunia.com/advisories/25286/
http://www.rapid7.com/advisories/R7-0028.jsp
http://www.rapid7.com/advisories/R7-0029
http://www.rapid7.com/advisories/R7-0030
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
/[device].[extension]http://www.example.com:8080/[path]/[device].[extension]
http://www.example.com:8080/%20..\web-inf
http://www.example.com:8080/%20
/%20.xtp]http://www.example.com:8080/[path]/%20.xtp
建议:
厂商补丁:
Caucho Technology
-----------------
厂商发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.caucho.com/download/resin-pro-3.1.1.tar.gz
http://www.caucho.com/download/resin-3.1.1.tar.gz
原文出自【比特网】,转载请保留原文链接:http://sec.chinabyte.com/364/11430864.shtml
Caucho Technology Resin v3.1.0 for Windows
Caucho Technology Resin v3.0.21 for Windows
Caucho Technology Resin v3.0.20 for Windows
Caucho Technology Resin v3.0.19 for Windows
Caucho Technology Resin v3.0.18 for Windows
Caucho Technology Resin v3.0.17 for Windows
Caucho Technology Resin Professional v3.1.0 for Window
不受影响系统:
Caucho Technology Resin v3.1.1 for Windows
Caucho Technology Resin Professional v3.1.1 for Window
描述:
BUGTRAQ ID: 23980
CVE(CAN) ID: CVE-2007-2688
Resin是一款由Caucho Technology开发的WEB服务器,可使用在Microsoft Windows操作系统下。
Resin for Windows实现上存在多个漏洞,远程攻击者可能利用此漏洞非授权获取敏感信息。
Resin没有正确过滤通过URL传送的输入,允许远程攻击者通过在URL中提供有任意扩展名的DOS设备文件名从系统上的任意COM或LPT设备读取连续的数据流、通过目录遍历攻击泄露Web应用的WEB-INF目录中的文件内容,或通过包含有特殊字符的URL泄露到Caucho Resin服务器的完整系统路径。
<*来源:Derek Abdine
链接:http://secunia.com/advisories/25286/
http://www.rapid7.com/advisories/R7-0028.jsp
http://www.rapid7.com/advisories/R7-0029
http://www.rapid7.com/advisories/R7-0030
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
/[device].[extension]http://www.example.com:8080/[path]/[device].[extension]
http://www.example.com:8080/%20..\web-inf
http://www.example.com:8080/%20
/%20.xtp]http://www.example.com:8080/[path]/%20.xtp
建议:
厂商补丁:
Caucho Technology
-----------------
厂商发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.caucho.com/download/resin-pro-3.1.1.tar.gz
http://www.caucho.com/download/resin-3.1.1.tar.gz
原文出自【比特网】,转载请保留原文链接:http://sec.chinabyte.com/364/11430864.shtml
相关文章推荐
- microsoft ie javascript及xml 远程信息泄露漏洞
- microsoft ie javascript及xml 远程信息泄露漏洞
- microsoft ie javascript及xml 远程信息泄露漏洞
- microsoft ie javascript及xml 远程信息泄露漏洞
- microsoft ie javascript及xml 远程信息泄露漏洞
- Apache Tomcat 信息泄露及远程代码执行漏洞分析与防护
- GNOME Evolution 信息泄露漏洞
- 支付宝!谷歌叫你回家修复转账信息泄露漏洞
- 12306用户信息泄露调查 称存50漏洞未补救
- Apache Tomcat 信息泄露漏洞存在于所有版本
- Linux Kernel Netlink Interface 多个信息泄露漏洞
- Nginx敏感信息泄露漏洞(CVE-2017-7529)
- PostgreSQL信息泄露漏洞
- 9 月 19 日,腾讯云安全中心监测到 Apache Tomcat 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615
- Windows2008 r2“Web服务器HTTP头信息泄露”漏洞修复
- Linux Kernel ‘perf’多个拒绝服务和信息泄露漏洞
- 苹果修复iOS 6测试版中泄露软件更新信息的漏洞
- WordPress BackupBuddy插件importbuddy.php脚本信息泄露漏洞
- MS10-070 ASP.NET Padding Oracle信息泄露漏洞项目测试
- 记一次SVN信息泄露漏洞