Novell NetWare 6.0 Tomcat の source.jsp トラバーサル任意ファイルアクセス
high Nessus プラグイン ID 12119
Language:
概要
リモートデータでは、機密データを読み取ることができます。説明
NetWare 6.0 と共に配布されている Apache Tomcat サーバーには、ディレクトリトラバーサルの脆弱性があります。その結果、AUTOEXEC.NCFにあるRCONSOLEパスワードなどの秘密情報がNetWareサーバーから取得される可能性があります。例
http://target/examples/jsp/source.jsp?%2e%2e/%2e%2e/%2e%2e/%2e%2e/system/autoexec.ncf
ソリューション
Tomcat を最新バージョン にアップグレードするか、不要な場合にはサービスを無効にしてください。Web サーバーからデフォルトファイルを削除します。また、RCONSOLE パスワードが暗号化されるようにし、コンソールアクセス用にパスワード保護されたスクリーンセーバーを利用してください。
プラグインの詳細
深刻度: High
ID: 12119
ファイル名: netware_tomcat_sourcecode_viewer.nasl
バージョン: 1.16
タイプ: remote
ファミリー: Netware
公開日: 2004/3/30
更新日: 2022/4/11
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.4
CVSS v2
リスクファクター: High
基本値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
脆弱性情報
CPE: cpe:/o:novell:netware, cpe:/a:apache:tomcat
脆弱性公開日: 2000/3/21
参照情報
CVE: CVE-2000-1210