Apache Tomcat空字节目录/文件泄漏漏洞

admin
admin
admin
0
文章
0
评论
2022-07-22 10:34:05 CNNVD漏洞 来源:ZONE.CI 全球网 0 阅读模式

漏洞信息详情

Apache Tomcat空字节目录/文件泄漏漏洞

  • CNNVD编号:CNNVD-200302-018
  • 危害等级: 低危
  • CVE编号: CVE-2003-0042
  • 漏洞类型: 输入验证
  • 发布时间: 2003-01-26
  • 威胁类型: 远程
  • 更新时间: 2005-10-20
  • 厂        商: apache
  • 漏洞来源: Jouko Pynnöne...

漏洞简介

Apache Tomcat是一个流行的开放源码的jsP应用服务器程序。 Apache Tomcat JDK 1.3.1及其以前版本的软件实现上存在漏洞,远程攻击者可能利用此漏洞获取服务器上目录和文件的内容。 Apache Tomcat对存在空字节(\\%00)和反斜杠(\'\'\\'\')字符的web请求的处理上存在漏洞,可能会泄漏目录和文件的内容。

漏洞公告

厂商补丁: Debian ------ Debian已经为此发布了一个安全公告(DSA-246-1)以及相应补丁:

DSA-246-1:New tomcat packages fix information exposure and cross site scripting

链接: http://www.debian.org/security/2003/dsa-246

补丁下载:

Source archives:

http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.dsc

Size/MD5 checksum: 714 1c34b1fdedf90ea10531ed12a8c6ae0b

http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.diff.gz

Size/MD5 checksum: 15146 c58c7edd2df1a806b510068ab7a9a04f

http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a.orig.tar.gz

Size/MD5 checksum: 2087545 2df39325c7293ee11ae5547281ca1077

Architecture independent components:

http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1_all.deb

Size/MD5 checksum: 1196810 1ed6efa36586a8a3d3b527aeebbc4531

Intel IA-32 architecture:

http://security.debian.org/pool/updates/contrib/t/tomcat/libapache-mod-jk_3.3a-4woody1_i386.deb

Size/MD5 checksum: 51522 1e11d6a43654fc6d921c8bc90ad15b4b

补丁安装方法:

1. 手工安装补丁包:

首先,使用下面的命令来下载补丁软件:

# wget url (url是补丁下载链接地址)

然后,使用下面的命令来安装补丁:

# dpkg -i file.deb (file是相应的补丁名)

2. 使用apt-get自动安装补丁包:

首先,使用下面的命令更新内部数据库:

# apt-get update

然后,使用下面的命令安装更新软件包:

# apt-get upgrade Apache Software Foundation -------------------------- 目前厂商已经在3.3.1a及其以后版本的软件中修复了这个安全问题,请到厂商的主页下载:

http://jakarta.apache.org/tomcat/index.HTML

参考网址

来源: DEBIAN 名称: DSA-246 链接:http://www.debian.org/security/2003/dsa-246 来源: BUGTRAQ 名称: 20030130 Apache Jakarta Tomcat 3 URL parsing vulnerability 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=104394568616290&w=2 来源: jakarta.apache.org 链接:http://jakarta.apache.org/builds/jakarta-tomcat/release/v3.3.1a/RELEASE-NOTES-3.3.1a.txt 来源: jakarta.apache.org 链接:http://jakarta.apache.org/builds/jakarta-tomcat/release/v3.3.1a/ 来源: XF 名称: tomcat-null-directory-listing(11194) 链接:http://xforce.iss.net/xforce/xfdb/11194 来源: BID 名称: 6721 链接:http://www.securityfocus.com/bid/6721 来源: HP 名称: HPSBUX0303-249 链接:http://www.securityfocus.com/advisories/5111 来源: CIAC 名称: N-060 链接:http://www.ciac.org/ciac/bulletins/n-060.sHTML 来源: SECUNIA 名称: 7977 链接:http://secunia.com/advisories/7977 来源: SECUNIA 名称: 7972 链接:http://secunia.com/advisories/7972

受影响实体

  • Apache Tomcat:3.1  
  • Apache Tomcat:3.1.1  
  • Apache Tomcat:3.0  
  • Apache Tomcat:3.2  
  • Apache Tomcat:3.2.1  

补丁

    暂无

weinxin
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
咨询加Q:999999999
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 安全领域涉猎者-乌云独行地带
获取本源码
售前咨询加Q:120433200
站媒体网仿《知更鸟》模板
获取本源码 zmt6.com
评论:0   参与:  0