涉及程序: tomcat 详细: Tomcat 是在 Apache 软件环境下开发的一个支持 JSP 和 Servlets 的软件。但是发现它存在两个漏洞: 1、攻击者提交这样的 URL 将能获得系统的一些路径信息: Example: http://host/\\index.jsp Error: 500 Location: /index.jsp Internal Servlet Error: org.apache.jasper.JasperException: Unable to compile class for JSP C:\\tomcat\\jakarta-tomcat-3.2.1\\work\\localhost_8080\\_0002findex_0002ejspindex_jsp_69.java:482: Method autenticate(java.lang.String) not found in class ENTERPRISE.login. if(pubBean.autenticate(password) != 0) ^ C:\\tomcat\\jakarta-tomcat-3.2.1\\work\\localhost_8080\\_0002findex_0002ejspindex_jsp_69.java:664: Method Others methods... 2、拒绝服务漏洞 如果攻击者持续地发送这样类型的请求将能导致服务器完全崩溃 受影响系统: Tomcat v3.2.1 测试环境: Apache 1.3.19 (WinNT 4.0) 解决方案: 尚无