Jetty控制器引擎任意命令执行漏洞

漏洞信息详情

Jetty控制器引擎任意命令执行漏洞

• CNNVD编号：CNNVD-200210-269
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-1178
  
• 漏洞类型：
  
  
  路径遍历
  
• 发布时间：
  
  2002-10-11
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-08-31
  
• 厂        商：
  
  jetty
• 漏洞来源：
  Discovery of this …

Jetty HTTP服务器4.1.0之前版本的CGIServlet存在目录遍历漏洞。远程攻击者可以借助道cgi-bin的HTTP请求中..＼（点-点 反斜杠）序列执行任意命令。

The vendor has reported that Jetty, versions 4.1.0 and later, are not vulnerable to this issue. Users are urged to upgrade to the newest version of Jetty:
Jetty Jetty 3.1.6

• Jetty Jetty-4.1.1.zip
  
  http://prdownloads.sourceforge.net/jetty/Jetty-4.1.1.zip?download

Jetty Jetty 3.1.7

• Jetty Jetty-4.1.1.zip
  
  http://prdownloads.sourceforge.net/jetty/Jetty-4.1.1.zip?download

Jetty Jetty 4.1 .0RC4

• Jetty Jetty-4.1.1.zip
  
  http://prdownloads.sourceforge.net/jetty/Jetty-4.1.1.zip?download

来源: BID
名称: 5852
链接:http://www.securityfocus.com/bid/5852

来源: BUGTRAQ
名称: 20021002 wp-02-0011: Jetty CGIServlet Arbitrary Command Execution
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=103358725813039&w=2

来源: www.westpoint.ltd.uk
链接:http://www.westpoint.ltd.uk/advisories/wp-02-0011.txt

来源: XF
名称: jetty-cgiservlet-directory-traversal(10246)
链接:http://www.iss.net/security_center/static/10246.php

来源: groups.yahoo.com
链接:http://groups.yahoo.com/group/jetty-announce/message/45