发布日期：2007-05-14
更新日期：2007-05-16

受影响系统：

Caucho Technology Resin v3.1.0 for Windows
Caucho Technology Resin v3.0.21 for Windows
Caucho Technology Resin v3.0.20 for Windows
Caucho Technology Resin v3.0.19 for Windows
Caucho Technology Resin v3.0.18 for Windows
Caucho Technology Resin v3.0.17 for Windows
Caucho Technology Resin Professional v3.1.0 for Window

不受影响系统：

Caucho Technology Resin v3.1.1 for Windows
Caucho Technology Resin Professional v3.1.1 for Window

描述：

---

BUGTRAQ  ID: 23985
CVE(CAN) ID: CVE-2007-2441,CVE-2007-2440

Resin是一款由Caucho Technology开发的WEB服务器，可使用在Microsoft Windows操作系统下。

Resin for Windows实现上存在多个漏洞，远程攻击者可能利用此漏洞非授权获取敏感信息。

Resin没有正确过滤通过URL传送的输入，允许远程攻击者通过在URL中提供有任意扩展名的DOS设备文件名从系统上的任意COM或LPT设备读取连续的数据流、通过目录遍历攻击泄露Web应用的WEB-INF目录中的文件内容，或通过包含有特殊字符的URL泄露到Caucho Resin服务器的完整系统路径。

<*来源：Derek Abdine
  
  链接：http://secunia.com/advisories/25286/
        http://www.rapid7.com/advisories/R7-0028.jsp
        http://www.rapid7.com/advisories/R7-0029
        http://www.rapid7.com/advisories/R7-0030
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.example.com:8080/[path]/[device].[extension]
http://www.example.com:8080/%20..\web-inf
http://www.example.com:8080/%20
http://www.example.com:8080/[path]/%20.xtp

建议：

---

厂商补丁：

Caucho Technology
-----------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.caucho.com/download/resin-pro-3.1.1.tar.gz
http://www.caucho.com/download/resin-3.1.1.tar.gz

浏览次数：5416
严重程度：0（网友投票）