当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Jetty NTFS流类型安全措施绕过漏洞

信息来源:Sergey Bobrov      发表日期:2013-05-15 14:42:00

Jetty是一个开源的servlet容器,它为基于Java的web内容,例如JSP和servlet提供运行环境。

Jetty 9.0.6.v20130930之前版本在处理资源请求时出错,攻击者通过附加NTFS流类型到目录或文件名称,利用此漏洞可非法访问受限制资源类型。

 

受影响系统:

Jetty Jetty < 9.0.6.v20130930

 

解决办法:

厂商补丁:

 

Jetty

-----

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

 

http://jetty.sourceforge.net

参考:

Eclipse:

https://bugs.eclipse.org/bugs/show_bug.cgi?id=418014

http://dev.eclipse.org/mhonarc/lists/jetty-announce/msg00054.html

Positive Technologies:

http://en.securitylab.ru/lab/PT-2013-65

参考信息:

http://secunia.com/advisories/55861/