| 취약점ID |
22199 |
| 위험도 |
30 |
| 포트 |
80, ... |
| 프로토콜 |
TCP |
| 분류 |
Servlet |
| 상세설명 |
해당 Sun-ONE Application 서버는 JSP 소스 노출 취약점을 가지고 있다. 이 취약점은 원격지의 공격자들이 HTTP 요청에 파일 확장자의 대소문자를 변경함으로써 웹 문서 디렉토리에 있는 JSP 어플리케이션들의 소스코드를 볼 수 있게 해 준다. 취약점은 파일시스템에서 대소문자를 구분하지 않는 MS 윈도우즈 플랫폼으로 Unix 코드가 포팅(porting)되는 과정에서 생겨났다.
원격지의 공격자는 알려진 JSP 파이레 대한 잘 조작된 URL 요청을 보냄으로써, 보호장치를 우회하여 요청된 JSP 페이지의 소스코드를 가져갈 수 있다. 여기에는 데이터베이스 패스워드들이나 다른 중요한 정보가 포함되어 있을 수 있다.
* 참고 사이트:
http://download.oracle.com/sunalerts/1000610.1.html
http://marc.info/?l=bugtraq&m=105409846029475&w=2
* 영향을 받는 플랫폼:
Windows 2000/XP 용 Sun-ONE Application Server 7.0 |
| 해결책 |
벤더에 문의하여 Sun ONE Application Server 7.0 Update Release 2 이상 버전으로 업그레이드 해야한다. |
| 관련 URL |
CVE-2003-0411 (CVE) |
| 관련 URL |
7709 (SecurityFocus) |
| 관련 URL |
12093 (ISS) |
|
