Apache Tomcat Web.XML远程文件内容泄露漏洞

漏洞信息详情

Apache Tomcat Web.XML远程文件内容泄露漏洞

• CNNVD编号：CNNVD-200302-006
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2003-0043
  
• 漏洞类型：
  
  
  访问验证错误
  
• 发布时间：
  
  2003-02-07
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-13
  
• 厂        商：
  
  apache
• 漏洞来源：

Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。
Apache Tomcat JDK 1.3.1及其以前版本的软件实现上存在漏洞，远程攻击者可能利用此漏洞获取服务器上部分文件的内容。
如果能在Apache Tomcat服务器上创建一个名为\’\’web.xml\’\’的文件，远程攻击者可能通过它读取其他文件的部分内容。任何可被读取为XML文档一部份的文件，可被此漏洞利用来获取部分文件内容，造成信息泄露。

厂商补丁：
Apache Software Foundation
————————–
目前厂商已经在3.3.1a及其以后版本的软件中修复了这个安全问题，请到厂商的主页下载：

http://jakarta.apache.org/tomcat/index.html” target=”_blank”>
http://jakarta.apache.org/tomcat/index.html

来源: XF
名称: tomcat-webxml-read-files(11195)
链接:http://xforce.iss.net/xforce/xfdb/11195

来源: jakarta.apache.org
链接:http://jakarta.apache.org/builds/jakarta-tomcat/release/v3.3.1a/RELEASE-NOTES-3.3.1a.txt

来源: jakarta.apache.org
链接:http://jakarta.apache.org/builds/jakarta-tomcat/release/v3.3.1a/

来源: BID
名称: 6722
链接:http://www.securityfocus.com/bid/6722

来源: HP
名称: HPSBUX0303-249
链接:http://www.securityfocus.com/advisories/5111

来源: DEBIAN
名称: DSA-246
链接:http://www.debian.org/security/2003/dsa-246

来源: CIAC
名称: N-060
链接:http://www.ciac.org/ciac/bulletins/n-060.shtml