安全研究
安全漏洞
IBM WebSphere应用服务器源码泄露漏洞
发布日期:2007-03-16
更新日期:2007-03-19
受影响系统:IBM Websphere Application Server 6.0.1
IBM Websphere Application Server 6
IBM Websphere Application Server 5.1
IBM Websphere Application Server 5.0
IBM Websphere Application Server 4.0
不受影响系统:IBM Websphere Application Server 6.1
描述:
BUGTRAQ ID:
22991
IBM Websphere应用服务器以Java和Servlet引擎为基础,支持多种HTTP服务,可帮助用户完成从开发、发布到维护交互式的动态网站的所有工作。
Websphere应用服务器在特定配置情况下处理用户请求存在问题,远程攻击者可能利用此漏洞获取JSP源码。
如果WebSphere应用服务器被配置为以下情况之一的话:
1 从Application WAR生成JSP;ibm.web.ext.xm文件中fileServingEnabled设置为true,可以访问war目录下的JSP文件
2 从Extended Document Root生成JSP; ibm.web.ext.xmi文件中fileServingEnabled设置为true,可以访问extendedDocumentRoot目录下的JSP文件
3 与1中所述配置相同,但启用了servlet缓存,配置策略使用com.ibm.ws.webcontainer.servlet.SimpleFileServlet.class缓存servlet
4 与2中所述配置相同,但启用了servlet缓存,配置策略使用com.ibm.ws.webcontainer.servlet.SimpleFileServlet.class缓存servlet
则WebSphere应用服务器在处理JSP URL中的特殊字符时可能会泄漏JSP的源码而不是JSP页面。
<*来源:IBM (
ncsupp@ca.ibm.com)
链接:
http://secunia.com/advisories/24478/
http://www-1.ibm.com/support/docview.wss?uid=swg21243541
*>
建议:
厂商补丁:
IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www-1.ibm.com/support/docview.wss?rs=180&uid=swg27004980浏览次数:3904
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
