当前位置:  编程技术>java/j2ee

IBM WebSphere源代码暴露漏洞

    来源: 互联网  发布时间:2014-10-13

    本文导语:  bugtraq id 1500 class Access Validation Error cve GENERIC-MAP-NOMATCH remote Yes local Yes published July 24, 2000 updated July 24, 2000 vulnerable IBM Websphere Application Server 3.0.21- Sun Solaris 8.0- Microsoft Windows NT 4.0- Linux kernel 2.3.x- IBM AIX 4.3IBM Websphere Application Server 3...

bugtraq id 1500
class Access Validation Error
cve GENERIC-MAP-NOMATCH
remote Yes
local Yes
published July 24, 2000
updated July 24, 2000
vulnerable IBM Websphere Application Server 3.0.21
- Sun Solaris 8.0
- Microsoft Windows NT 4.0
- Linux kernel 2.3.x
- IBM AIX 4.3
IBM Websphere Application Server 3.0
- Sun Solaris 8.0
- Novell Netware 5.0
- Microsoft Windows NT 4.0
- Linux kernel 2.3.x
- IBM AIX 4.3
IBM Websphere Application Server 2.0
- Sun Solaris 8.0
- Novell Netware 5.0
- Microsoft Windows NT 4.0
- Linux kernel 2.3.x
- IBM AIX 4.3

Certain versions of the IBM WebSphere application server ship with a vulnerability which allows malicious users to view the source of any document which resides in the web document root directory.

This is possible via a flaw which allows a default servlet (different servlets are used to parse different types of content, JHTML, HTMl, JSP, etc.) This default servlet will display the document/page without parsing/compiling it hence allowing the code to be viewed by the end user.

The Foundstone, Inc. advisory which covered this problem detailed the following method of verifying the vulnerability - full text of this advisory is available in the 'Credit' section of this entry:

"It is easy to verify this vulnerability for a given system. Prefixing the path to web pages with "/servlet/file/" in the URL causes the file to be displayed without being
parsed or compiled. For example if the URL for a file "login.jsp" is:

http://site.running.websphere/login.jsp

then accessing

http://site.running.websphere/servlet/file/login.jsp

would cause the unparsed contents of the file to show up in the web browser."

    
 
 
 
本站(WWW.)旨在分享和传播互联网科技相关的资讯和技术,将尽最大努力为读者提供更好的信息聚合和浏览方式。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。












  • 相关文章推荐
  • IBM WebSphere如何配置?
  • IBM WebSphere 是个什么东西???
  • 那里有IBM的WEBSPHERE下载,能告诉我下载的网址吗?
  • websphere连接池怎么找到com.ibm.servlet.connmgr.*这个包?
  • 一个简单的问题:IBM HTTP server和WebSphere
  • ibm websphere的用法:请关注!
  • 请教:在IBM VisualAge For Java 的 WebSphere测试环境中启动 EJB ...
  • 怎样配置ibm websphere application server 使它能支持*.shtml 文件??请各位大虾予以指教!!!
  • 请熟悉IBM WebSphere配置者留下OICQ号
  • 有人参加了IBM软件巡展吗?关于WebSphere的课怎么样?
  • jdk和IBM Websphere 一样都是Web服务器吗?
  • IBM的WebSphere如何
  • 请问在win2000,ibm http环境下怎么配置websphere才能执行*.jsp文件。请大家帮帮忙
  • 来者有分。从IBM上下载的VISUALAGE FOR JAVA和websphere是企业版吗?。。。。。。
  • 送分!送分!!!请讲解一下BEA的WebLogic和IBM的websphere以及其他的WEB应用服务器软件的优、缺点。还有前两者使用过程中应该注意的问题细节!
  • 主要是: Iinux、 IBM WebSphere 、DB2 VisualAge Java 的内容 请高手指教,谢谢!
  • 各位帮忙,我收到IBM的IBM webphere活动请柬,网址现在找不到了。
  • ibm的aix系统,现在ibm还支持吗
  • 菜鸟问题(可以安装Unix(AIX)+IBM DB2的最便宜的IBM机器是多少RMB)
  • IBM的产品好次,不知道大家是否有同感
  • IBM HTTP Server
  • 关于IBM的问题
  • 我的IBM--AIX证书!
  • IBM i 数据和资源访问的Java类库 JTOpen
  • IBM System x3400 无法安装 CentOS 6.2
  • 何处能下载到ibm visualAge 3.5 for java?
  • 请教一个关于IBM的服务器不能启动的问题?
  • 来自IBM developerWorks的调查,敬请关注
  • hp_unix可以装在IBM服务器上吗。为什么?
  • IBM的服务器不支持Fedora?
  • Rails的DB2驱动 IBM_DB gem


  • 站内导航:


    特别声明:169IT网站部分信息来自互联网,如果侵犯您的权利,请及时告知,本站将立即删除!

    ©2012-2021,,E-mail:www_#163.com(请将#改为@)

    浙ICP备11055608号-3