0

tomcat 6.0にWebアプリケーションをデプロイしましたが、URLを要求すると、ログファイルに次のエラーが表示されます。エラーを理解するのを手伝ってくれませんか

SEVERE: Servlet.service() for servlet jsp threw exception
    javax.servlet.jsp.JspTagException: Invalid JSP file     %2e%2e/%2e%2e/%2e%2e/%2e%2e/system/autoexec.ncf
    at examples.ShowSource.doEndTag(ShowSource.java:41)
    at org.apache.jsp.jsp.source_jsp._jspService(source_jsp.java:87)
    at org.apache.jasper.runtime.HttpJspBase.service(HttpJspBase.java:70)
    at javax.servlet.http.HttpServlet.service(HttpServlet.java:717)
    at org.apache.jasper.servlet.JspServletWrapper.service(JspServletWrapper.java:388)
    at org.apache.jasper.servlet.JspServlet.serviceJspFile(JspServlet.java:313)
    at org.apache.jasper.servlet.JspServlet.service(JspServlet.java:260)
    at javax.servlet.http.HttpServlet.service(HttpServlet.java:717)
4

2 に答える 2

3

これは、このNetWare6.0固有のexpolitに関連しています。

112119:Novell NetWare 6.0TomcatSource.jspトラバーサル任意のファイルアクセス

リスク4:Netware

NetWare6.0とともに配布されるApacheTomcatサーバーには、ディレクトリトラバーサルの脆弱性があります。その結果、AUTOEXEC.NCFにあるRCONSOLEパスワードなどの機密情報がNetWareサーバーから取得される可能性があります。

例 :

http://target/examples/jsp/source.jsp?%2e%2e/%2e%2e/%2e%2e/%2e%2e/system/autoexec.ncf

解決:

Tomcatを最新バージョンにアップグレードするか、必要がない場合はサービスを無効にします。Webサーバーからデフォルトファイルを削除します。また、RCONSOLEパスワードが暗号化されていることを確認し、コンソールアクセスにパスワードで保護されたスクリーンセーバーを利用します。

参照:

CVSS情報:

攻撃の複雑さが低く、機密性への影響が完全

クレジット:

Tenable:2009-12-04

サーバーにパッチを適用します。

于 2012-11-08T14:59:32.893 に答える
2

これ

%2e%2e/%2e%2e/%2e%2e/%2e%2e/system/autoexec.ncf

urldecodes to

../../../../system/autoexec.ncf

これはおそらくサーバーを攻撃する試みです。

于 2012-11-08T14:58:50.397 に答える