我们已经在tomcat 6.0中部署了一个Web应用程序,当我们请求URL时,日志文件中出现以下错误。你能帮我找出错误吗
SEVERE: Servlet.service() for servlet jsp threw exception
javax.servlet.jsp.JspTagException: Invalid JSP file %2e%2e/%2e%2e/%2e%2e/%2e%2e/system/autoexec.ncf
at examples.ShowSource.doEndTag(ShowSource.java:41)
at org.apache.jsp.jsp.source_jsp._jspService(source_jsp.java:87)
at org.apache.jasper.runtime.HttpJspBase.service(HttpJspBase.java:70)
at javax.servlet.http.HttpServlet.service(HttpServlet.java:717)
at org.apache.jasper.servlet.JspServletWrapper.service(JspServletWrapper.java:388)
at org.apache.jasper.servlet.JspServlet.serviceJspFile(JspServlet.java:313)
at org.apache.jasper.servlet.JspServlet.service(JspServlet.java:260)
at javax.servlet.http.HttpServlet.service(HttpServlet.java:717)
最佳答案
这与this NetWare 6.0 specific expolit有关。
112119:Novell NetWare 6.0 Tomcat Source.jsp遍历任意文件访问
风险4:Netware
随NetWare 6.0一起分发的Apache Tomcat服务器具有目录遍历漏洞。结果,可以从NetWare服务器获得敏感信息,例如位于AUTOEXEC.NCF中的RCONSOLE密码。
范例:
http://target/examples/jsp/source.jsp?%2e%2e/%2e%2e/%2e%2e/%2e%2e/system/autoexec.ncf
解:
将Tomcat升级到最新版本,或者如果不需要,则禁用该服务。从Web服务器上删除默认文件。另外,确保RCONSOLE密码已加密,并使用受密码保护的屏幕保护程序进行控制台访问。
参考文献:
CVE-2000-1210
OSVDB-7203
CVSS信息:
低攻击复杂度,完全保密性影响
信用:
成立时间:2009-12-04
修补服务器。