Jetty服务器中的跨站脚本代码和目录遍历文件漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2009-05-07
Jetty服务器中的跨站脚本代码和目录遍历文件漏洞 受影响系统:
Jetty Jetty 6.1.15

不受影响系统:
Jetty Jetty 6.1.17

描述:
Jetty是一款流行的Java Web服务器。

Jetty中捆绑有HTTP服务器、HTTP客户端和javax.servlet容器,其中HTTP服务器的URI处理器没有正确的解释规范的路径,远程安全者可以通过目录遍历安全访问web应用或文档树以外的文件。成功利用这个漏洞要求使用了支持别名的DefaultServlet,或使用ResourceHandler类提供静态内容。对于UNIX系统,仅在webapp或docroot中存在以“?”字符结尾的目录名时才受这个漏洞影响。

Jetty在显示Web目录列表时没有正确地过滤URL输入便返回给了用户,远程安全者可以在HTTP响应中目录列表路径前附加“;”字符执行跨站脚本安全,在用户浏览器会话中注入并执行任意HTML和脚本代码。

厂商补丁:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://jira.codehaus.org/secure/attachment/41486/JETTY-980.patch