Macromedia JRun远程JSP源代码泄露漏洞

Macromedia JRun远程JSP源代码泄露漏洞
【http://baomi.shangdu.com | 保密安全】

---

发布日期: 2002-7-1    更新日期: 2002-7-9   受影响的系统:    Macromedia JRun 3.0     - IBM AIX 4.3       - IBM AIX 4.2       - Microsoft Windows NT 4.0 SP6a       - Microsoft Windows NT 4.0 SP6       - Microsoft Windows NT 4.0 SP5       - Microsoft Windows NT 4.0 SP4       - Microsoft Windows NT 4.0 SP3       - Microsoft Windows NT 4.0 SP2       - Microsoft Windows NT 4.0 SP1       - Microsoft Windows NT 4.0       - Microsoft Windows 98       - Microsoft Windows 95       - Microsoft Windows 2000 SP2       - Microsoft Windows 2000 SP1       - RedHat Linux 6.1 alpha     - RedHat Linux 6.1 sparc     - RedHat Linux 6.1 x86     - RedHat Linux 6.0       - RedHat Linux 6.0 sparc     - RedHat Linux 6.0 x86     - SGI IRIX 6.5       - Sun Solaris 7.0       - Sun Solaris 2.6   Macromedia JRun 3.1     - IBM AIX 4.3       - IBM AIX 4.2       - Microsoft Windows NT 4.0 SP6a       - Microsoft Windows NT 4.0 SP6       - Microsoft Windows NT 4.0 SP5       - Microsoft Windows NT 4.0 SP4       - Microsoft Windows NT 4.0 SP3       - Microsoft Windows NT 4.0 SP2       - Microsoft Windows NT 4.0 SP1       - Microsoft Windows NT 4.0       - Microsoft Windows 98       - Microsoft Windows 95       - Microsoft Windows 2000 SP2       - Microsoft Windows 2000 SP1       - RedHat Linux 6.1 alpha     - RedHat Linux 6.1 sparc     - RedHat Linux 6.1 x86     - RedHat Linux 6.0 x86     - RedHat Linux 6.0 alpha     - RedHat Linux 6.0       - RedHat Linux 6.0 sparc     - SGI IRIX 6.5       - Sun Solaris 7.0       - Sun Solaris 2.6   Macromedia JRun 4.0     - Microsoft Windows XP       - Microsoft Windows NT 4.0 SP6a       - Microsoft Windows NT 4.0 SP6       - Microsoft Windows NT 4.0 SP5       - Microsoft Windows NT 4.0 SP4       - Microsoft Windows NT 4.0 SP3       - Microsoft Windows NT 4.0 SP2       - Microsoft Windows NT 4.0 SP1       - Microsoft Windows NT 4.0       - Microsoft Windows 2000 SP2       - Microsoft Windows 2000 SP1      描述: --------------------------------------------------------------------------------    BUGTRAQ  ID: 5134 Macromedia JRun是一款Macromedia公司开发的Java 应用服务器，提供快速可靠的J2EE兼容平台。 Macromedia JRun对用户提交的请求缺少正确检查，远程攻击者可以利用这个漏洞获得.JSP文件源代码信息。 Macromedia JRun在处理字符串后的NULL字符存在问题，攻击者可以通过提交在.JSP文件后追加NULL字符的请求，可导致服务器返回JSP源代码信息，造成敏感信息泄露。攻击者可以利用此漏洞进一步对系统进行攻击。 <*来源：Peter Gründl （pgrundl@kpmg.dk）       链接：http://archives.neohapsis.com/archives/bugtraq/2002-07/0001.html *>    -------------------------------------------------------------------------------- 建议:   厂商补丁： Macromedia ---------- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： Macromedia JRun 3.0: Macromedia Patch jrun-30-win-upgrade-en_49297.exe http://download.macromedia.com/pub/security/jrun/30/intel-win/jrun-30-win-upgrade-en_49297.exe 针对Macromedia JRun 3.0/Windows系统的补丁。 Macromedia Patch jrun-30-unix-upgrade-us_49297.sh http://download.macromedia.com/pub/security/jrun/30/unix/jrun-30-unix-upgrade-us_49297.sh 针对Macromedia JRun 3.0/UNIX和Linux系统的补丁。 Macromedia JRun 3.1: Macromedia Patch jrun-31-win-upgrade-en_49297.exe http://download.macromedia.com/pub/security/jrun/31/intel-win/jrun-31-win-upgrade-en_49297.exe 针对Macromedia JRun 3.1/Windows系统的补丁。 Macromedia Patch jrun-31-unix-upgrade-us_49297.sh http://download.macromedia.com/pub/security/jrun/31/unix/jrun-31-unix-upgrade-us_49297.sh 针对Macromedia JRun 3.1/UNIX和Linux系统的补丁。 Macromedia JRun 4.0: Macromedia Patch MPSB02-06_jrun4-patch.zip http://download.macromedia.com/pub/security/jrun/40/MPSB02-06_jrun4-patch.zip 针对Macromedia JRun 4.0/Windows系统的补丁。 Macromedia Patch MPSB02-06_jrun4-patch.zip http://download.macromedia.com/pub/security/jrun/40/MPSB02-06_jrun4-patch.zip 针对Macromedia JRun 4.0/UNIX和Linux系统的补丁