English

◀◁ 뒤로 취약점ID 22236 위험도 30 포트 80, ... 프로토콜 TCP 분류 Servlet 상세설명 Resin 'view_source.jsp' 샘플 스크립트는 디렉토리 탐색 취약점을 가지고 있다. Caucho Technology에 의해 개발된 Resin은 Java와 JavaScript를 지원하는 서블릿(servlet) 및 Java Server Pages (JSP) 엔진이다. Microsoft Windows 플랫폼의 Resin 버전 2.1.2에 있는 'view_source.jsp' 샘플 스크립트는 원격지의 공격자가 웹 서버 상에 있는 임의의 파일들의 내용을 볼 수 있게 해 준다. 'view_source.jsp' 스크립트는 '/../' 시퀀스들을 통한 디렉토리 탐색은 방지한다. 그러나 공격자가 '\..\' 시퀀스들을 통해 디렉토리 탐색 시도하면 성공한다. 이는 공격자가 웹 서버에 의해 읽혀지는 취약한 시스템 상의 어떠한 파일들도 읽어 갈 수 있게 해 준다. * 참고 사이트: http://archives.neohapsis.com/archives/bugtraq/2002-06/0168.html * 영향을 받는 플랫폼: Resin 2.1.2 Microsoft Windows Any version 해결책 다음 Caucho Technology 웹 사이트에서 Resin의 가장 최신 버전(2.1.11 혹은 이후)을 구하여 업그레이드 하여야 한다: http://caucho.com/products/resin/download -- 혹은 -- 샘플 스크립트들이 필요하지 않다면 "Examples" 폴더를 삭제한다. 관련 URL CVE-2002-1987 (CVE) 관련 URL 5031 (SecurityFocus) 관련 URL 9351 (ISS)