Resin多个远程信息泄露漏洞

zpball

Caucho Resin多个远程信息泄露漏洞
由于我工作的原因使用resin比较多，因为最近服务器因为这个漏洞被黑了，所以希望各个站长警惕起来，因为我发现使用resin的大站也不少例如17173还有pchome等，经过我的测试都有漏洞，虽然漏洞只能看源代码但是谁也不想自己辛苦写的东西给别人看吧。强烈支持使用resin的人打上补丁



Resin是一款由Caucho Technology开发的WEB服务器，可使用在Microsoft Windows操作系统下。

Resin for Windows实现上存在多个漏洞，远程攻击者可能利用此漏洞非授权获取敏感信息。

Resin没有正确过滤通过URL传送的输入，允许远程攻击者通过在URL中提供有任意扩展名的DOS设备文件名从系统上的任意COM或LPT设备读取连续的数据流、通过目录遍历攻击泄露Web应用的WEB-INF目录中的文件内容，或通过包含有特殊字符的URL泄露到Caucho Resin服务器的完整系统路径。


漏洞使用方法：[url=http://www.example.com:8080/[path]/[device].[extension]]http://www.example.com:8080/[path]/[device].[extension][/url]
http://www.example.com:8080/%20..\web-inf

修补方法:使用最新的resin或者去www.caucho.com下载最新的补丁