Caucho Resin多个远程信息泄露漏洞
由于我工作的原因使用resin比较多,因为最近服务器因为这个漏洞被黑了,所以希望各个站长警惕起来,因为我发现使用resin的大站也不少例如17173还有pchome等,经过我的测试都有漏洞,虽然漏洞只能看源代码但是谁也不想自己辛苦写的东西给别人看吧。强烈支持使用resin的人打上补丁
Resin是一款由Caucho Technology开发的WEB服务器,可使用在Microsoft Windows操作系统下。
Resin for Windows实现上存在多个漏洞,远程攻击者可能利用此漏洞非授权获取敏感信息。
Resin没有正确过滤通过URL传送的输入,允许远程攻击者通过在URL中提供有任意扩展名的DOS设备文件名从系统上的任意COM或LPT设备读取连续的数据流、通过目录遍历攻击泄露Web应用的WEB-INF目录中的文件内容,或通过包含有特殊字符的URL泄露到Caucho Resin服务器的完整系统路径。
漏洞使用方法:
/[device].[extension]]http://www.example.com:8080/[path]/[device].[extension]
http://www.example.com:8080/%20..\web-inf
修补方法:使用最新的resin或者去www.caucho.com下载最新的补丁
分享到:
相关推荐
apache2.2整合resin3.14+Eclipse远程调试,文档有详细的配置说明和截图 文档详细说明了apache2.2整合resin3.14的全过程,并且增加了Eclipse远程调试的配置方法。
Resin是CAUCHO公司的产品,是一个非常流行的application server,对servlet和JSP提供了良好的支持,性能也比较优良,resin自身采用JAVA语言开发
server-status信息泄露 网站备份文件放在web目录,可被下载 列目录导致可看到敏感数据并查看 snmp信息泄露 weblogic弱口令 SVN信息泄露 域传送漏洞 Rsync hadoop对外 nagios信息泄露 ftp弱口令或支持匿名访问导致...
最新的resin配置指导,新人少点弯路,下了就知道了 Main class: com.caucho.server.resion.Resin 这里多写了一个o 正确的是: Main class: com.caucho.server.resin.Resin
Resin是CAUCHO公司的产品,是一个非常流行的application server,对servlet和JSP提供了良好的支持,性能也比较优良,resin自身采用JAVA语言开发。
NULL 博文链接:https://baobeituping.iteye.com/blog/857085
resin3 resin3下载 resin-3.0.21下载
resin服务器有3部分,resin1,resin-webapp,resin-lib,由于大小限制分开传
Resin泛解析 - 三级域名最优应用方案
比如一台SERVER的错误率是1%的话,那么支持负载平衡的两个Resin服务器就可以使错误率降到0.01%。 Resin 2.1.4( resin-2.1.4.zip),你可以从http://www.caucho.com/download/ 站点上查询Resin的最新版本并下载它...
最新的resin4-0.48pro的破解文件.
Linux版本的resin服务器 也算是老版本的JavaEE服务器
名称:Resin,版本:4.0.58,系统:Windows,位数:64 项目运行的服务器:Resin-4.0.58
resin服务器有3部分,resin1,resin-webapp,resin-lib,由于大小限制分开传
下载了别人的包和破解license文件合成。但有无替换,均可以正常启动,并访问主页。
Resin是CAUCHO公司的产品,是一个非常流行的支持servlets和jsp的引擎,速度非常快。Resin本身包含了一个支持HTTP/1.1的WEB服务器。虽然它可以显示动态内容,但是它显示静态内容的能力也非常强,速度直逼APACHESERVER...
Mastering Resin英文版
resin3.1.5
resin应用部署详细步骤,帮助你快速学会resin