| 취약점ID |
22415 |
| 위험도 |
30 |
| 포트 |
8080, ... |
| 프로토콜 |
TCP |
| 분류 |
Servlet |
| 상세설명 |
해당 Caucho Resin 서버는 viewfile 서블릿을 통한 임의의 파일 액세스 취약점에 취약하다. Caucho Resin은 서블릿(servlet) 및 JSP 서버이다. Microsoft Windows 플랫폼들을 위한 Caucho Resin 3.0.17 그리고 3.0.18 버전들은 "viewfile" 서블릿에 있는 "contextpath" 그리고 "file" 인수들로 전달된 사용자 제공 입력에 대한 부적절한 검증으로 인하여, 원격지의 공격자가 영향을 받는 호스트 상의 웹 root 디렉토리 내에 있는 임의의 파일들을 볼 수 있게 해 준다. "viewfile" 서블릿은 /resin-doc 디렉토리에 있는 Resin 문서 파일들을 보는 데 사용된다. 원격지의 공격자는 이 취약점을 도용하여 웹 root 디렉토리 아래에 있는 파일에 대해 소스 코드를 가져갈 수 있다.
* 참고 사이트:
http://www.caucho.com/download/changes.xtp
http://www.securityfocus.com/archive/1/434145/30/0/threaded
http://secunia.com/advisories/20125/
* 영향을 받는 플랫폼:
Caucho Technology 사, Resin 3.0.17
Caucho Technology 사, Resin 3.0.18
Microsoft Windows Any version |
| 해결책 |
Caucho Technology의 다운로드 웹 사이트인 http://caucho.com/products/resin/download 에서 구할 수 있는 Caucho Resin의 가장 최신 버전(3.0.19 혹은 이후)으로 업그레이드 하여야 한다. |
| 관련 URL |
CVE-2006-2437,CVE-2006-2438 (CVE) |
| 관련 URL |
18007 (SecurityFocus) |
| 관련 URL |
26494 (ISS) |
|
