Resin远程信息泄露漏洞

简介: 受影响系统:  Caucho Technology Resin v3.1.0 for Windows  Caucho Technology Resin v3.

受影响系统:

  Caucho Technology Resin v3.1.0 for Windows

  Caucho Technology Resin v3.0.21 for Windows

  Caucho Technology Resin v3.0.20 for Windows

  Caucho Technology Resin v3.0.19 for Windows

  Caucho Technology Resin v3.0.18 for Windows

  Caucho Technology Resin v3.0.17 for Windows

  Caucho Technology Resin Professional v3.1.0 for Window

  不受影响系统:

  Caucho Technology Resin v3.1.1 for Windows

  Caucho Technology Resin Professional v3.1.1 for Window

  描述:

  BUGTRAQ ID: 23980

  CVE(CAN) ID: CVE-2007-2688

  Resin是一款由Caucho Technology开发的WEB服务器,可使用在Microsoft Windows操作系统下。

  Resin for Windows实现上存在多个漏洞,远程攻击者可能利用此漏洞非授权获取敏感信息。

  Resin没有正确过滤通过URL传送的输入,允许远程攻击者通过在URL中提供有任意扩展名的DOS设备文件名从系统上的任意COM或LPT设备读取连续的数据流、通过目录遍历攻击泄露Web应用的WEB-INF目录中的文件内容,或通过包含有特殊字符的URL泄露到Caucho Resin服务器的完整系统路径。

  <*来源:Derek Abdine

  链接:http://secunia.com/advisories/25286/

  http://www.rapid7.com/advisories/R7-0028.jsp

  http://www.rapid7.com/advisories/R7-0029

  http://www.rapid7.com/advisories/R7-0030

  *>

  测试方法:

  警 告

  以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

  http://www.example.com:8080/[path]/[device].[extension]

  http://www.example.com:8080/%20..\web-inf

  http://www.example.com:8080/%20

  http://www.example.com:8080/[path]/%20.xtp

  建议:

  厂商补丁:

  Caucho Technology

  -----------------

  厂商发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

  http://www.caucho.com/download/resin-pro-3.1.1.tar.gz

  http://www.caucho.com/download/resin-3.1.1.tar.gz


原文出自【比特网】,转载请保留原文链接:http://sec.chinabyte.com/364/11430864.shtml

目录
相关文章
|
NoSQL 关系型数据库 MySQL
泛微Ecology9+Emobile7部署
泛微OA的平台化,相比之下,的确是很不错,为方便公司内部考勤,加班审批,报销等流程,这边采用泛微的E9
6965 0
泛微Ecology9+Emobile7部署
|
Web App开发 安全 物联网
大华智慧园区综合管理平台前台任意文件上传漏洞
大华智慧园区综合管理平台存在前台任意文件上传漏洞,攻击者可通过特定Payload获取服务器敏感信息,进而获取服务器控制权限。
2549 1
|
SQL 监控 druid
Druid未授权访问 漏洞复现
Druid未授权访问 漏洞复现
21768 1
|
Prometheus 监控 安全
SpringBoot Actuator未授权访问漏洞的解决方法
SpringBoot Actuator未授权访问漏洞的解决方法Actuator 是 SpringBoot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。
33130 0
|
10月前
|
数据采集 数据可视化 物联网
数据工程师必看:10大主流数据清洗工具全方位功能对比
面对杂乱数据,高效清洗是分析关键。本文盘点10款主流工具:从企业级Informatica、Talend,到业务友好的Alteryx、Tableau Prep,技术向的Python、Nifi,再到轻量级Excel+Power Query,覆盖各类场景。帮你选对工具,提升效率,告别无效加班。
数据工程师必看:10大主流数据清洗工具全方位功能对比
|
存储 SpringCloudAlibaba 安全
Nacos未授权访问复现及修复
Nacos未授权访问复现及修复
4777 1
|
安全 网络安全 数据安全/隐私保护
【已修复】OpenSSH 代码问题漏洞(CVE-2023-38408)
修复OpenSSH 代码问题漏洞(CVE-2023-38408)
9573 1
|
安全 JavaScript 网络安全
邮件钓鱼演练指南
邮件钓鱼演练指南
|
C# 数据安全/隐私保护
推荐三款开源且实用的.NET代码混淆工具,保护你的.NET应用程序
推荐三款开源且实用的.NET代码混淆工具,保护你的.NET应用程序
1767 0

热门文章

最新文章