NewAtlanta ServletExec/ISAPI远程文件泄露漏洞-一一网

漏洞信息详情

NewAtlanta ServletExec/ISAPI远程文件泄露漏洞

CNNVD编号：CNNVD-200210-171

危害等级：中危
CVE编号：
CVE-2002-0893
漏洞类型：

输入验证
发布时间：

2002-05-22
威胁类型：

远程
更新时间：

2005-10-20
厂商：

new_atlanta_communications
漏洞来源：
Matt Moore※ matt@w…

漏洞简介

ServletExec/ISAPI是一款运行在Microsoft IIS WEB平台下的Java Servlet/JSP引擎插件，可使用在Microsoft Windows NT/2000/XP系统下的IIS WEB服务程序中。
ServletExec/ISAPI对用户提交的特殊URL请求处理不够正确，可导致远程攻击者访问Web主目录中任意文件的内容。
ServletExec/ISAPI对unicode编码处理不正确，攻击者可以提交包含unicode字符的特殊URL请求，以Web进程的权限查看Web主目录中任意文件内容，导致敏感信息泄露，攻击者可以利用此漏洞得到的信息进一步对系统进行攻击。

漏洞公告

厂商补丁：
NewAtlanta
———-
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

NewAtlanta Patch ServletExec_4_1p9.zip

ftp://ftp.newatlanta.com/public/4_1/patches/

参考网址

来源: BID
名称: 4795
链接:http://www.securityfocus.com/bid/4795

来源: XF
名称: servletexec-dotdot-directory-traversal(9140)
链接:http://www.iss.net/security_center/static/9140.php

来源: BUGTRAQ
名称: 20020522 Multiple vulnerabilities in NewAtlanta ServletExec ISAPI 4.1
链接:http://online.securityfocus.com/archive/1/273615

来源: VULNWATCH
名称: 20020522 [VulnWatch] Multiple vulnerabilities in NewAtlanta ServletExec ISAPI 4.1
链接:http://archives.neohapsis.com/archives/vulnwatch/2002-q2/0077.html