English

◀◁ 뒤로 취약점ID 21201 위험도 40 포트 80, ... 프로토콜 TCP 분류 Servlet 상세설명 Unify의 eWave ServletExec은 Apache, IIS, Netscape 등과 같은 많이 쓰이는 웹서버들에 plug-in으로써 사용되는 JSP (Java Server Pages)와 Java Servlet 엔진이다. eWave ServletExec 3.0C 이하의 버전들은 "UploadServlet" servlet을 포함하고 있는데 이 servlet은 Attacker가 원격으로 임의의 파일들을 서버상에 upload 할 수 있도록 해 준다. Attacker는 "UploadServlet" servlet을 호출하기 위해 path에 "/servlet/com.unify.ewave.servletexec.UploadServlet"을 포함하는 URL을 웹서버에 요청(Request)한다. Attacker는 이 방법으로 임의의 파일들을 upload 할 수 있으며 서버상에 그 파일들을 실행시킬 수도 있다. * 참고 사이트: http://www.iss.net/security_center/static/5450.php http://www.servletexec.com/downloads/ 해결책 eWave ServletExec의 최신 버전 (3.0E 이후 버전)으로 업그레이드 하여야 한다. 업그레이드는 Unify eWave ServletExec 웹 사이트(참조 사이트)에서 다운로드 받을 수 있다. 관련 URL CVE-2000-1024 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)