正文

Mort Bay Jetty目录遍历漏洞

admin
admin V管理员 /0 评论 /16 阅读
0105
此篇文章发布距今已超过1279天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Mort Bay Jetty目录遍历漏洞

  • CNNVD编号:CNNVD-200905-057
    • <!--
  • 危害等级: 中危-->
  • 危害等级: 中危
  • CVE编号: CVE-2009-1523
  • 漏洞类型: 路径遍历
  • 发布时间: 2009-03-25
  • 威胁类型: 远程
  • 更新时间: 2009-06-10
  • 厂        商: mortbay
  • 漏洞来源: Greg Wilkins and o...

漏洞简介

Mort Bay Jetty 提供了一个HTTP服务器和HTTP客户端以及javax.servlet容器。

Mort Bay Jetty 5.1.14版本,6.1.17版本之前的6.x版本,以及7.x版本至7.0.0.M2版本的HTTP服务器中存在目录遍历漏洞。远程攻击者可以借助URI中的目录遍历序列,访问任意文件。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:

MandrakeSoft Linux Mandrake 2009.1 x86_64

Mandriva jetty5-5.1.15-0.1.5.1.1mdv2009.1.noarch.rpm

http://www.mandriva.com/en/download/

Mandriva jetty5-demo-5.1.15-0.1.5.1.1mdv2009.1.noarch.rpm

http://www.mandriva.com/en/download/

Mandriva jetty5-javadoc-5.1.15-0.1.5.1.1mdv2009.1.noarch.rpm

http://www.mandriva.com/en/download/

Mandriva jetty5-manual-5.1.15-0.1.5.1.1mdv2009.1.noarch.rpm

http://www.mandriva.com/en/download/

MandrakeSoft Linux Mandrake 2009.0

Mandriva jetty5-5.1.15-0.1.5.1.1mdv2009.0.noarch.rpm

http://www.mandriva.com/en/download/

Mandriva jetty5-demo-5.1.15-0.1.5.1.1mdv2009.0.noarch.rpm

http://www.mandriva.com/en/download/

Mandriva jetty5-javadoc-5.1.15-0.1.5.1.1mdv2009.0.noarch.rpm

http://www.mandriva.com/en/download/

Mandriva jetty5-manual-5.1.15-0.1.5.1.1mdv2009.0.noarch.rpm

http://www.mandriva.com/en/download/

MandrakeSoft Linux Mandrake 2009.0 x86_64

Mandriva jetty5-5.1.15-0.1.5.1.1mdv2009.0.noarch.rpm

http://www.mandriva.com/en/download/

Mandriva jetty5-demo-5.1.15-0.1.5.1.1mdv2009.0.noarch.rpm

http://www.mandriva.com/en/download/

Mandriva jetty5-javadoc-5.1.15-0.1.5.1.1mdv2009.0.noarch.rpm

http://www.mandriva.com/en/download/

Mandriva jetty5-manual-5.1.15-0.1.5.1.1mdv2009.0.noarch.rpm

http://www.mandriva.com/en/download/

MandrakeSoft Linux Mandrake 2009.1

Mandriva jetty5-5.1.15-0.1.5.1.1mdv2009.1.noarch.rpm

http://www.mandriva.com/en/download/

Mandriva jetty5-demo-5.1.15-0.1.5.1.1mdv2009.1.noarch.rpm

http://www.mandriva.com/en/download/

Mandriva jetty5-javadoc-5.1.15-0.1.5.1.1mdv2009.1.noarch.rpm

http://www.mandriva.com/en/download/

Mandriva jetty5-manual-5.1.15-0.1.5.1.1mdv2009.1.noarch.rpm

http://www.mandriva.com/en/download/

参考网址

来源: US-CERT

名称: VU#402580

链接:http://www.kb.cert.org/vuls/id/402580

来源: FEDORA

名称: FEDORA-2009-5513

链接:https://www.redhat.com/archives/fedora-package-announce/2009-May/msg01262.html

来源: FEDORA

名称: FEDORA-2009-5509

链接:https://www.redhat.com/archives/fedora-package-announce/2009-May/msg01259.html

来源: FEDORA

名称: FEDORA-2009-5500

链接:https://www.redhat.com/archives/fedora-package-announce/2009-May/msg01257.html

来源: bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=499867

来源: VUPEN

名称: ADV-2009-1900

链接:http://www.vupen.com/english/advisories/2009/1900

来源: SECTRACK

名称: 1022563

链接:http://www.securitytracker.com/id?1022563

来源: BID

名称: 35675

链接:http://www.securityfocus.com/bid/35675

来源: BID

名称: 34800

链接:http://www.securityfocus.com/bid/34800

来源: www.oracle.com

链接:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2009.html

来源: CONFIRM

链接:http://www.kb.cert.org/vuls/id/CRDY-7RKQCY

来源: SECUNIA

名称: 35776

链接:http://secunia.com/advisories/35776

来源: SECUNIA

名称: 35225

链接:http://secunia.com/advisories/35225

来源: SECUNIA

名称: 35143

链接:http://secunia.com/advisories/35143

来源: SECUNIA

名称: 34975

链接:http://secunia.com/advisories/34975

来源: jira.codehaus.org

链接:http://jira.codehaus.org/browse/JETTY-1004

受影响实体

  • Mortbay Jetty:4.1.B0  
    <!--
    2000-1-1
    -->
  • Mortbay Jetty:3.0.A9  
    <!--
    2000-1-1
    -->
  • Mortbay Jetty:3.0.A8  
    <!--
    2000-1-1
    -->
  • Mortbay Jetty:3.0.A7  
    <!--
    2000-1-1
    -->
  • Mortbay Jetty:3.0.A6  
    <!--
    2000-1-1
    -->

补丁

    暂无