`
zpball
  • 浏览: 916602 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

Resin多个远程信息泄露漏洞

阅读更多
Caucho Resin多个远程信息泄露漏洞
由于我工作的原因使用resin比较多,因为最近服务器因为这个漏洞被黑了,所以希望各个站长警惕起来,因为我发现使用resin的大站也不少例如17173还有pchome等,经过我的测试都有漏洞,虽然漏洞只能看源代码但是谁也不想自己辛苦写的东西给别人看吧。强烈支持使用resin的人打上补丁



Resin是一款由Caucho Technology开发的WEB服务器,可使用在Microsoft Windows操作系统下。

Resin for Windows实现上存在多个漏洞,远程攻击者可能利用此漏洞非授权获取敏感信息。

Resin没有正确过滤通过URL传送的输入,允许远程攻击者通过在URL中提供有任意扩展名的DOS设备文件名从系统上的任意COM或LPT设备读取连续的数据流、通过目录遍历攻击泄露Web应用的WEB-INF目录中的文件内容,或通过包含有特殊字符的URL泄露到Caucho Resin服务器的完整系统路径。


漏洞使用方法:/[device].[extension]]http://www.example.com:8080/[path]/[device].[extension]
http://www.example.com:8080/%20..\web-inf

修补方法:使用最新的resin或者去www.caucho.com下载最新的补丁
分享到:
评论

相关推荐

    从一次某微OA的漏洞复现,聊聊Resin的这个特性1

    标题中的“从一次某微OA的漏洞复现,聊聊Resin的这个特性1”指的是一个关于Resin服务器在处理文件上传漏洞时表现出的一个特殊行为。描述中提到的问题是,在一个名为“某微OA”的应用程序中,当用户上传了一个包含自...

    apache2.2整合resin3+Eclipse远程调试

    在Eclipse中,你需要创建一个Remote Java Application配置,指定主机(127.0.0.1或Resin服务器的实际IP)和端口(这里是8000),然后就可以开始远程调试你的Java应用了。 整合完成后,Apache将处理静态文件,而...

    Resin 3.0.8

    10. **持续改进**:3.0.8作为版本号,表明它是Resin经过多次迭代后的成熟产品,包含了之前版本的修复和改进,为用户提供了更稳定的运行环境。 综上所述,Resin 3.0.8作为一个高性能的应用服务器,集成了丰富的Java ...

    一个Resin配置多个集群应用[linux环境]

    本主题聚焦于如何在Linux环境下利用Resin配置多个集群应用,这对于提升系统可用性和扩展性至关重要。下面将详细阐述相关知识点。 1. **Resin简介** Resin是由Caucho Technology开发的一款高性能、轻量级的Java应用...

    项目运行的服务器:Resin-4.0.58

    6. **安全性**:作为服务器,Resin 4.0.58会定期发布安全更新,修复已知漏洞,以保护部署在其中的应用免受攻击。开发者应确保及时更新到最新版本,以保持最佳的安全性。 7. **部署与扩展**:Resin支持热部署,即在...

    resin3 和 resin4

    Resin3和Resin4是该服务器软件的两个主要版本,它们各自具有不同的特性和改进。 Resin3是Resin的早期版本,它为开发者提供了一个强大而可靠的平台,用于部署和管理基于Java的Web应用。Resin3的主要特性包括: 1. *...

    Resin泛解析 - 三级域名应用方案

    Resin泛解析的三级域名应用方案需要考虑多个方面的优化,包括启动参数、Java虚拟机参数、性能优化、线程优化和配置参数设置等。通过合理地设置这些参数,可以提高Resin的性能和稳定性,满足中小型网站的需求。

    resin服务器有3部分,resin1,resin-webapp,resin-lib,由于大小限制分开传

    - **JMX**: 通过Java Management Extensions (JMX),Resin提供了对服务器状态的监控和管理,可以远程控制和管理服务器。 了解并掌握这些知识点,将有助于您更好地部署、管理和优化基于Resin的Java应用程序。

    resin3 resin3下载

    【Resin3】是CometD项目下的一个高性能、轻量级的Java应用服务器,它最初由Caucho Technology开发并维护。Resin3版本3.0.21是该系列的一个重要版本,提供了对Java EE 5标准的支持,包括Servlet 2.5、JSP 2.1和EJB ...

    resin-3.1.8

    4. **负载均衡与集群**:Resin 3.1.8支持多服务器环境下的负载均衡和故障转移,可以配置多个Resin实例组成集群,以提高可用性和可伸缩性。通过集群,可以有效地分配请求,提高系统的整体处理能力。 5. **缓存机制**...

    安全运维那些漏洞(目录版)

    server-status信息泄露 网站备份文件放在web目录,可被下载 列目录导致可看到敏感数据并查看 snmp信息泄露 weblogic弱口令 SVN信息泄露 域传送漏洞 Rsync hadoop对外 nagios信息泄露 ftp弱口令或支持匿名访问导致...

    resin3.1.6配置指导

    最新的resin配置指导,新人少点弯路,下了就知道了 Main class: com.caucho.server.resion.Resin 这里多写了一个o 正确的是: Main class: com.caucho.server.resin.Resin

    resin服务器resin-pro-3.1.8

    - **多线程模型**:Resin采用了多线程模型,每个请求都会分配一个独立的工作线程,确保了并发处理能力。 - **异步I/O处理**:Resin支持非阻塞I/O(NIO),提高了对大量并发连接的响应效率,减少了资源消耗。 - **...

    resin-1 resin服务器有三部分

    在"resin-1"这个特定的版本中,Resin服务器被分为三个主要部分:resin1,resin-webapp和resin-lib。下面将对这三个部分进行详细解析。 1. resin1: resin1是Resin服务器的基础组成部分,它包含了服务器的核心运行...

    resin3.0中的https配置

    对于 Resin 3.0 来说,其 HTTPS 配置涉及到 OpenSSL 的安装、证书的生成以及 Resin 配置文件的修改等多个步骤。本文将详细介绍 Resin 3.0 中 HTTPS 的配置方法。 #### 二、环境准备 1. **操作系统**:Linux 或 ...

    resin中关于日志的配置

    - 配置文件中的`<logger>`标签用于定义日志记录器,可以设置多个日志记录器以满足不同模块或级别的需求。 3. **日志级别**: - `error`:只记录错误级别的信息。 - `warn`:记录错误和警告信息。 - `info`:...

    使用Resin在IDE中快速启动web项目

    2. Admin Console:Resin提供了一个Web界面的管理控制台,可以实时查看服务器状态、管理应用、调整配置,甚至进行远程管理。 3. 调试模式:通过修改resin.xml配置,可以开启JVM的远程调试端口,配合IDE的远程调试...

    resin-3.0.28.rar

    - **负载均衡和集群**:Resin 3.0.28内置了负载均衡器,可以轻松地配置多个服务器节点以实现高可用性和容错性。 - **缓存机制**:通过内置的HTTP缓存和数据缓存功能,提高静态资源和服务的访问速度。 - **JMX管理...

    Resin源码解读1

    Resin,作为一个高性能的Java应用服务器,其源码解析对于我们深入理解Web服务器的运行机制和优化技术具有重要的价值。本文将从日志分析、运行时调试、网络模型以及线程池模型四个方面进行深入探讨。 一、日志分析 ...

Global site tag (gtag.js) - Google Analytics