Allaire JRun 3.0 可被目录浏览

Allaire JRun 3.0 可被目录浏览

发布时间：2000-10-25
更新时间：2000-10-25
严重程度：中
威胁程度：远程非授权文件存取
错误类型：输入验证错误
利用方式：服务器模式

受影响系统
Allaire JRun 3.0
   - Sun Solaris 7.0
   - Sun Solaris 2.6
   - SGI IRIX 6.5
   - RedHat Linux 6.1 sparc
   - RedHat Linux 6.1 i386
   - RedHat Linux 6.1 alpha
   - RedHat Linux 6.0 sparc
   - RedHat Linux 6.0 i386
   - Microsoft Windows 98
   - Microsoft Windows 95
   - Microsoft Windows NT 4.0
   - Microsoft Windows NT 2000
   - IBM AIX 4.3
   - IBM AIX 4.2
详细描述
ALLAIRE JRUN是一个基于JSP和JAVA SERVLET开发的WEB应用套件。每个WEB应用
程序目录中包含一个WEB-INF目录，这个目录包含一些WEB应用程序的CLASS和
预编译JSP文件，服务器端库文件，会话信息和文件如web.xml,webapp.properties.

JRUN包含一个漏洞允许远程用户查看WEB-INF目录内容，通过请求一个包含"/"字符的
URL，就会显示WEB-INF目录下面面的所有目录。

测试代码
http://target//WEB-INF/

解决方案
Allaire提供了如下的补丁：

Allaire JRun 3.0:

Allaire patch extraslashes
http://download.allaire.com/jrun/jrun3.0/extraslashes.ZIP
Windows 95/98/NT/2000 and Windows NT Alpha

Allaire patch extraslashes.tar
http://download.allaire.com/jrun/jrun3.0/extraslashes.tar.gz
UNIX/Linux patch - GNU gzip/tar