Resin远程信息泄露漏洞

简介: 受影响系统:  Caucho Technology Resin v3.1.0 for Windows  Caucho Technology Resin v3.

受影响系统:

  Caucho Technology Resin v3.1.0 for Windows

  Caucho Technology Resin v3.0.21 for Windows

  Caucho Technology Resin v3.0.20 for Windows

  Caucho Technology Resin v3.0.19 for Windows

  Caucho Technology Resin v3.0.18 for Windows

  Caucho Technology Resin v3.0.17 for Windows

  Caucho Technology Resin Professional v3.1.0 for Window

  不受影响系统:

  Caucho Technology Resin v3.1.1 for Windows

  Caucho Technology Resin Professional v3.1.1 for Window

  描述:

  BUGTRAQ ID: 23980

  CVE(CAN) ID: CVE-2007-2688

  Resin是一款由Caucho Technology开发的WEB服务器,可使用在Microsoft Windows操作系统下。

  Resin for Windows实现上存在多个漏洞,远程攻击者可能利用此漏洞非授权获取敏感信息。

  Resin没有正确过滤通过URL传送的输入,允许远程攻击者通过在URL中提供有任意扩展名的DOS设备文件名从系统上的任意COM或LPT设备读取连续的数据流、通过目录遍历攻击泄露Web应用的WEB-INF目录中的文件内容,或通过包含有特殊字符的URL泄露到Caucho Resin服务器的完整系统路径。

  <*来源:Derek Abdine

  链接:http://secunia.com/advisories/25286/

  http://www.rapid7.com/advisories/R7-0028.jsp

  http://www.rapid7.com/advisories/R7-0029

  http://www.rapid7.com/advisories/R7-0030

  *>

  测试方法:

  警 告

  以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

  http://www.example.com:8080/[path]/[device].[extension]

  http://www.example.com:8080/%20..\web-inf

  http://www.example.com:8080/%20

  http://www.example.com:8080/[path]/%20.xtp

  建议:

  厂商补丁:

  Caucho Technology

  -----------------

  厂商发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

  http://www.caucho.com/download/resin-pro-3.1.1.tar.gz

  http://www.caucho.com/download/resin-3.1.1.tar.gz


原文出自【比特网】,转载请保留原文链接:http://sec.chinabyte.com/364/11430864.shtml

目录
相关文章
|
7月前
|
安全 PHP
36、远程文件包含漏洞
36、远程文件包含漏洞
40 0
|
安全 前端开发 JavaScript
信息服务上线渗透检测网络安全检查报告和解决方案2(安装文件信息泄漏、管理路径泄漏、XSS漏洞、弱口令、逻辑漏洞、终极上传漏洞升级)
信息服务上线渗透检测网络安全检查报告和解决方案2(安装文件信息泄漏、管理路径泄漏、XSS漏洞、弱口令、逻辑漏洞、终极上传漏洞升级)
238 0
|
安全 数据挖掘
CVE-2021-41277——Metabase 信息泄露漏洞
CVE-2021-41277——Metabase 信息泄露漏洞
651 0
CVE-2021-41277——Metabase 信息泄露漏洞
ly~
|
2月前
|
安全 生物认证 数据库
有哪些常见的身份验证错误和漏洞?
本文介绍了常见的网络安全问题,包括弱密码、密码重用、身份验证流程缺陷、会话管理问题和社会工程学攻击。具体涉及简单密码易被破解、多平台使用同一密码、缺乏多因素认证、身份验证绕过、会话劫持与固定、钓鱼攻击和伪装攻击等。这些问题可能导致用户信息泄露和系统安全风险。
ly~
172 5
|
3月前
|
安全 应用服务中间件 开发工具
Web安全-SVN信息泄露漏洞分析
Web安全-SVN信息泄露漏洞分析
225 2
|
7月前
|
存储 安全 前端开发
WordPress未经身份验证的远程代码执行CVE-2024-25600漏洞分析
WordPress未经身份验证的远程代码执行CVE-2024-25600漏洞分析
265 0
|
Web App开发 SpringCloudAlibaba 安全
Nacos服务越权与身份验证绕过漏洞
Nacos服务越权与身份验证绕过漏洞
772 1
Nacos服务越权与身份验证绕过漏洞
|
安全 关系型数据库 MySQL
PHPInfo()信息泄漏——综合利用提权
PHPInfo()信息泄漏——综合利用提权
1391 0
PHPInfo()信息泄漏——综合利用提权