安全中国首页 > 新闻中心 > Linux漏洞
 

Apache Tomcat WebDav远程信息泄露漏洞

更新时间:2007-10-29 0:52:45
责任编辑:流火
热 点:
发布日期:2007-10-14
更新日期:2007-10-26

受影响系统:
Apache Group Tomcat 6.0.0 - 6.0.14
Apache Group Tomcat 5.5.0 - 5.5.25
Apache Group Tomcat 5.0.0 - 5.0.SVN
Apache Group Tomcat 4.1.0 - 4.1.SVN
Apache Group Tomcat 4.0.0 - 4.0.6
描述: BUGTRAQ  ID: 26070
CVE(CAN) ID: CVE-2007-5461

Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。

Apache Tomcat在特定配置情况下存在漏洞,远程攻击者可能利用此漏洞非授权读写文件。

如果将Apache Tomcat的WebDAV servlet配置为同上下文使用且允许写访问的话,则远程攻击者可以通过提交指定了SYSTEM标签的WebDAV请求导致泄露任意文件的内容。

<*来源:eliteb0y (eliteb0y@hushmail.com)
  
  链接:http://tomcat.apache.org/security-4.html
        http://secunia.com/advisories/27398/
        http://tomcat.apache.org/security-5.html
        http://tomcat.apache.org/security-6.html
*>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

http://www.milw0rm.com/exploits/4552
http://www.milw0rm.com/exploits/4530
http://www.milw0rm.com/exploits/4567

建议: 厂商补丁:

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://jakarta.apache.org/tomcat/index.html

 
安全中国网友投稿专用上传FTP空间:
Ftp服务器:download.anqn.com
Ftp端口:21
用户名:anqn
密 码:anqn.com
 
学习软件编程开发技术,推荐加入以下软件编程培训班:
易语言软件编程培训班(简单易学)  Delphi软件编程培训班  VC++软件编程培训班
VB软件编程培训班  JAVA高端编程就业研发班

学习网站开发制作技术,推荐加入以下网站开发培训班:
ASP.net网站开发项目实战班  ASP语言网站建设培训班

学习网络安全入侵防护技术,推荐加入以下技术培训班:
大型网络安全入侵防护班  网站脚本程序全方位安全检测班

学习网络管理、网吧运营维护技术(网管),推荐加入以下培训班:
大型网吧技术管理人才特训班  Linux网络嵌入架构工程师培训班

学习专项特殊技术,推荐加入以下专项技术培训班:
软件与游戏外挂脱壳破解班(逆向工程)  赚钱王道-网赚技能培训班  Flash动画设计师就业特训班