Несколько уязвимостей в Web сервере Blazix
| Дата публикации: | 27.08.2002 |
| Всего просмотров: | 1418 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Blazix – бесплатный Web сервер, написанный на JAVA, для Linux и Windows платформ.
В программе обнаружено 2 уязвимости: 1. Когда пользователь передает запрос о существующем JSP файле, заканчивающийся плюсом(+) или backslash (\), Web сервер раскроит содержание такого файла. Пример:
http://www.example.com/jsptest.jsp+ 2. Blazix не в состоянии обработать некоторые символы, добавленные в конец к запросу. Передача таких символов в запросе к Web серверу, позволяет получить содержание защищенной паролем директории. Полученная информация может использоваться в дальнейших нападениях. Пример:
http://www.example.com/bugtest+/ уязвимость обнаружена в Desiderata Software Blazix 1.2-1.2.1 |