IBM WebSphere Application Server 3.0.2 存在暴露源代码漏洞

IBMWebSphere

涉及程序:
IBM WebSphere Application Server 3.0.2

描述:
IBM WebSphere Application Server 3.0.2 存在暴露源代码漏洞

详细:
IBM WebSphere Application Server 允许攻击者查看 Web server 根目录以上的所有文件。IBM WebSphere 使用 Java Servlets 处理多种页面类型的分析(如 HTML, JSP, JHTML, 等等)。In addition 不同的 servlets 对不同的页面进行处理,如果一个请求的文件是未进行注册管理的,WebSphere 会使用一个默认的 servlet 作调用。如果文件路径以"/servlet/file/"作开头这个默认的 servlet 会被调用这个请求的文件会未被分析或编译就显示出来。

受影响系统:
IBM WebSphere 3.0.2 的所有版本

举例:
如果一个请求文件的 URL 为 "login.jsp":
http://site.running.websphere/login.jsp
那么访问
http://site.running.websphere/servlet/file/login.jsp
将看到这个文件的源代码。

解决方案:
下载并安装补丁:
http://www-4.ibm.com/software/webservers/appserv/efix.html

相关站点:
http://www-4.ibm.com/software/webservers/appserv/

时间: 2024-10-29 02:04:57

IBM WebSphere Application Server 3.0.2 存在暴露源代码漏洞的相关文章

IBM WebSphere Application Server V7.0 Feature Pack for Java Persistence

IBM WebSphere Application Server V7.0 Feature Pack for Java Persistence API 2.0 新特性介绍 对象 - 关系持久化是 Java EE 应用开发中的一个重要部分.Java Persistence API (JPA) 是对象 - 关系持久化的 Java EE 标准,从 Java EE 5 开始被引入.最新的 JPA 2.0(JSR-317) 规范是 Java EE 6 标准的一部分,它引入了新的对象 - 关系持久化 API

IBM WebSphere Application Server V7.0 Fix Pack 7于2009.11.13发布

IBM WebSphere Application Server V7.0 Fix Pack 7于2009.11.13发布 关键字: ibm websphere was 7.0.0.7 IBM WebSphere Application Server V7.0 Fix Pack 7于2009.11.13发布 各个平台下载,请见: http://www.ibm.com/support/docview.wss?rs=180&uid=swg24024582 详细修复列表,请见: http://www-

IBM WebSphere Application Server V7.0 Fix Pack 9于2010.03.25发布

IBM WebSphere Application Server V6.1 Fix Pack 29于2010.01.18发布  各个平台下载,请见: ftp://ftp.software.ibm.com/software/websphere/appserv/support/fixpacks/was70/cumulative/cf7009/ UpdateInstaller下载,请见:ftp://ftp.software.ibm.com/software/websphere/appserv/supp

IBM WebSphere Application Server 暴露JSP文件内容

IBMWebSphere 涉及程序: IBM WebSphere Application Server 3.0.2及更低版本 描述: IBM WebSphere Application Server 暴露JSP文件内容 详细: Java Server Pages (JSP)类型的文件是以'.jsp'扩展名在WebSphere Application Serve 上注册,WebSphere 是文件名大小写敏感的,'.jsp'和'.JSP'是不同类型的文件扩展名.如果提交有'.JSP'的链接给Web

IBM WebSphere Application Server Network Deployment 8.5.0.X 安装配置及补丁升级指南之Windows系统篇

自从IBM WebSphere Application Server(简称WAS)8.0发布以来,这个版本以及更高版本的安装与之前的WAS 5.x.6.x.7.x版本(也称传统的WAS版本)直接安装的方式做了一些变动,都需要通过IBM Installation Manager(简称IIM)安装管理工具来进行. 为方便新用户在安装时更加容易地完成安装与配置,特书写此安装指南以备参考. 下载地址为:http://www.java2class.net/bbs/viewthread.php?tid=24

如何在IBM WebSphere Application Server中使用各种JPA Provider

引言 使用持久化架构能够使数据库事务处理变得更加容易.Java 持久化架构(Java Persistence Architecture)是一个非常不错持久化选择,通过使用 JPA,您可以不再需要使用复杂的 SQL 查询,不必担心性能问题,以及其它一些潜在的编程错误等.有很多的 JPA Persistence Provider 可供应用程序开发者来选择,如 WebSphere JPA,OpenJPA 和 Hibernate 等等.WebSphere Application Server 支持配置使

IBM WebSphere Application Server 8.5 Liberty Profile苗条瘦身之道初探及剖析

1.1 背景信息IBM WebSphere Application Server 向来以重量级而著称,而大量抛弃EJB这大巨头后,无论商用还是开源的应用服务器都走上轻量化的轨道.IBM也推出了IBM WebSphere Application Server Liberty Profile来应对并争取更大的开发者市场.但IBM WebSphere Application Server其他版本仍旧是行走在重量级的大道上.1.2 概述IBM WebSphere Application Server L

加密IBM WebSphere Application Server系统密码

加密这些系统密码没有额外的安全优势,但是,如果您坚持实现密码加密解决方案,那么这是一个使用 SPI 实现此目标的示例. 我们几乎每天都会在科技和主流媒体上看到计算机系统被攻击的事件,这些系统的密码被盗,然后被攻击者利用.媒体常常指出,这些密码数据可被检索的一个原因是 "它们未加密".在这种情形下,一定要 认识到所谈论的密码是用户密码,用于登录和访问系统,而不是与系统进程和二进制程序有关联的密码.这是一个极其重要的区别.因此,在这里我想证明的是,前提 "未加密的密码不好&quo

IBM WebSphere Application Server V8.5设置和使用集中安装管理器

本文介绍了如何在 http://www.aliyun.com/zixun/aggregation/13387.html">WebSphere Application Server V8.5 中设置和使用集中安装管理器. 本文来自于 IBM WebSphere Developer Technical Journal 中文版. Centralized Installation Manager 提供一个简单.可重复的集中式用户界面,无需管理员登录到每台计算机上重复同样的安装操作,就可以将 IBM