漏洞信息详情
Apache Tomcat空字节目录/文件泄漏漏洞
- CNNVD编号:CNNVD-200302-018
- 危害等级: 低危
- CVE编号: CVE-2003-0042
- 漏洞类型: 输入验证
- 发布时间: 2003-01-26
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: apache
- 漏洞来源: Jouko Pynnöne...
漏洞简介
Apache Tomcat是一个流行的开放源码的jsP应用服务器程序。 Apache Tomcat JDK 1.3.1及其以前版本的软件实现上存在漏洞,远程攻击者可能利用此漏洞获取服务器上目录和文件的内容。 Apache Tomcat对存在空字节(\\%00)和反斜杠(\'\'\\'\')字符的web请求的处理上存在漏洞,可能会泄漏目录和文件的内容。
漏洞公告
厂商补丁: Debian ------ Debian已经为此发布了一个安全公告(DSA-246-1)以及相应补丁:
DSA-246-1:New tomcat packages fix information exposure and cross site scripting
链接: http://www.debian.org/security/2003/dsa-246
补丁下载:
Source archives:
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.dsc
Size/MD5 checksum: 714 1c34b1fdedf90ea10531ed12a8c6ae0b
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1.diff.gz
Size/MD5 checksum: 15146 c58c7edd2df1a806b510068ab7a9a04f
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a.orig.tar.gz
Size/MD5 checksum: 2087545 2df39325c7293ee11ae5547281ca1077
Architecture independent components:
http://security.debian.org/pool/updates/contrib/t/tomcat/tomcat_3.3a-4woody1_all.deb
Size/MD5 checksum: 1196810 1ed6efa36586a8a3d3b527aeebbc4531
Intel IA-32 architecture:
http://security.debian.org/pool/updates/contrib/t/tomcat/libapache-mod-jk_3.3a-4woody1_i386.deb
Size/MD5 checksum: 51522 1e11d6a43654fc6d921c8bc90ad15b4b
补丁安装方法:
1. 手工安装补丁包:
首先,使用下面的命令来下载补丁软件:
# wget url (url是补丁下载链接地址)
然后,使用下面的命令来安装补丁:
# dpkg -i file.deb (file是相应的补丁名)
2. 使用apt-get自动安装补丁包:
首先,使用下面的命令更新内部数据库:
# apt-get update
然后,使用下面的命令安装更新软件包:
# apt-get upgrade Apache Software Foundation -------------------------- 目前厂商已经在3.3.1a及其以后版本的软件中修复了这个安全问题,请到厂商的主页下载:
http://jakarta.apache.org/tomcat/index.HTML
参考网址
来源: DEBIAN 名称: DSA-246 链接:http://www.debian.org/security/2003/dsa-246 来源: BUGTRAQ 名称: 20030130 Apache Jakarta Tomcat 3 URL parsing vulnerability 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=104394568616290&w=2 来源: jakarta.apache.org 链接:http://jakarta.apache.org/builds/jakarta-tomcat/release/v3.3.1a/RELEASE-NOTES-3.3.1a.txt 来源: jakarta.apache.org 链接:http://jakarta.apache.org/builds/jakarta-tomcat/release/v3.3.1a/ 来源: XF 名称: tomcat-null-directory-listing(11194) 链接:http://xforce.iss.net/xforce/xfdb/11194 来源: BID 名称: 6721 链接:http://www.securityfocus.com/bid/6721 来源: HP 名称: HPSBUX0303-249 链接:http://www.securityfocus.com/advisories/5111 来源: CIAC 名称: N-060 链接:http://www.ciac.org/ciac/bulletins/n-060.sHTML 来源: SECUNIA 名称: 7977 链接:http://secunia.com/advisories/7977 来源: SECUNIA 名称: 7972 链接:http://secunia.com/advisories/7972
受影响实体
- Apache Tomcat:3.1
- Apache Tomcat:3.1.1
- Apache Tomcat:3.0
- Apache Tomcat:3.2
- Apache Tomcat:3.2.1
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论