发布日期：2008-01-03
更新日期：2008-01-07

受影响系统：

Jetty Jetty 6.1.6
Jetty Jetty 6.1.5

不受影响系统：

Jetty Jetty 6.1.7

描述：

---

BUGTRAQ  ID: 27117

Jetty是一款流行的Java Web服务器。

Jetty处理用户请求时存在漏洞，远程攻击者可能利用此漏洞绕过访问验证获取敏感信息。

如果未经认证的远程攻击者向Jetty服务器提交了包含有两个斜线字符（/）的特制URI请求的话，就可以查看隐藏的或保密的文件和目录。

<*来源：Greg Wilkins
  
  链接：http://secunia.com/advisories/28322/
        http://www.kb.cert.org/vuls/id/553235
        http://jira.codehaus.org/si/jira.issueviews:issue-html/JETTY-386/JETTY-386.html
*>

建议：

---

厂商补丁：

Jetty
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://docs.codehaus.org/display/JETTY/Downloading+and+Installing

浏览次数：3105
严重程度：0（网友投票）