我们已经在tomcat 6.0中部署了一个Web应用程序,当我们请求URL时,日志文件中出现以下错误。你能帮我找出错误吗

SEVERE: Servlet.service() for servlet jsp threw exception
    javax.servlet.jsp.JspTagException: Invalid JSP file     %2e%2e/%2e%2e/%2e%2e/%2e%2e/system/autoexec.ncf
    at examples.ShowSource.doEndTag(ShowSource.java:41)
    at org.apache.jsp.jsp.source_jsp._jspService(source_jsp.java:87)
    at org.apache.jasper.runtime.HttpJspBase.service(HttpJspBase.java:70)
    at javax.servlet.http.HttpServlet.service(HttpServlet.java:717)
    at org.apache.jasper.servlet.JspServletWrapper.service(JspServletWrapper.java:388)
    at org.apache.jasper.servlet.JspServlet.serviceJspFile(JspServlet.java:313)
    at org.apache.jasper.servlet.JspServlet.service(JspServlet.java:260)
    at javax.servlet.http.HttpServlet.service(HttpServlet.java:717)

最佳答案

这与this NetWare 6.0 specific expolit有关。


  112119:Novell NetWare 6.0 Tomcat Source.jsp遍历任意文件访问
  
  风险4:Netware
  
  随NetWare 6.0一起分发的Apache Tomcat服务器具有目录遍历漏洞。结果,可以从NetWare服务器获得敏感信息,例如位于AUTOEXEC.NCF中的RCONSOLE密码。
  
  范例:

http://target/examples/jsp/source.jsp?%2e%2e/%2e%2e/%2e%2e/%2e%2e/system/autoexec.ncf

  
  解:
  
  将Tomcat升级到最新版本,或者如果不需要,则禁用该服务。从Web服务器上删除默认文件。另外,确保RCONSOLE密码已加密,并使用受密码保护的屏幕保护程序进行控制台访问。
  
  参考文献:
  
  
  CVE-2000-1210
  OSVDB-7203
  
  
  CVSS信息:
  
  低攻击复杂度,完全保密性影响
  
  信用:
  
  成立时间:2009-12-04


修补服务器。

07-25 21:18