发布日期：2002-05-29
更新日期：2002-06-05

受影响系统：

Apache Software Foundation Tomcat 3.2.4
Apache Software Foundation Tomcat 3.2.3

描述：

---

BUGTRAQ  ID: 4876
CVE(CAN) ID: CVE-2002-2007

Apache Tomcat是一款由Apache Foundation维护的免费开放源代码的Web服务器程序。

Apache Tomcat中的realPath.jsp对用户提交的请求处理存在漏洞，可导致远程攻击者获得系统路径相关的信息。

Apache Tomcat安装后会提供在Web目录下建立test目录，并提供几个样例脚本，其中包括Source.JSP，攻击者可以直接请求Source.JSP，导致脚本返回Web目录安装路径信息。


<*来源：webmaster@procheckup.com （webmaster@procheckup.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-05/0265.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 删除source.jsp或者使用.htaccess限制用户对脚本的访问。

厂商补丁：

Apache Software Foundation
--------------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://jakarta.apache.org/tomcat/index.html

浏览次数：3577
严重程度：0（网友投票）