English

◀◁ 뒤로 취약점ID 22092 위험도 20 포트 8080 프로토콜 TCP 분류 Servlet 상세설명 해당 Jakarta Tomcat 서버는 보안상 중요한 경로명 정보를 노출시킨다. Jakarta Tomcat은 Java Servlet Pages (JSP)와 Java servlet 들을 지원할 수 있도록 Apache 웹 서버들과 함께 쓰이는 Java 애플리케이션 서버이다. 사용자가 존재하지 않는 JSP 파일의 URL을 요청할 때, 웹 디렉토리로의 물리적 경로명이 에러 메시지의 한 부분으로써 서버에 의해 제공된다. 이 방법이 Attacker에게는 공격에 도움이 되는 웹서버의 파일 구조에 대한 정보를 얻는데 사용될 수 있다. 다음과 같은 요청에 의해 웹 디렉토리로의 경로명을 볼 수 있다: http://www.example.com/anything.jsp Error: 404 Location: /anything.jsp JSP file "/appsrv2/jakarta-tomcat/webapps/ROOT/anything.jsp" not found * 참고 사이트: http://www.securityfocus.com/bid/1531 http://www.iss.net/security_center/static/4967.php 해결책 이 문제는 Tomcat 3.2.1에서 해결되었다. Jakarta Project의 웹사이트, http://jakarta.apache.org/ 에서 버전 3.2.1을 다운로드 받아 인스톨해야 한다. 관련 URL CVE-2000-0759 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)