軟件介紹：
Apusic Application Server1.0是Apusic公司開發(fā)出的中國第一個完整支持J2EE(Java 2 Platform, Enterprise Edition)的產品。Apusic采用純Java語言編寫，支持EJB1.1，Servlet，JSP，JMS等，支持多種平臺。

漏洞描述：
Jsp愛好者網(wǎng)站(http://jspbbs.yeah.net)在試用apusic server1.0產品中發(fā)現(xiàn)了一個可以泄漏jsp源代碼的漏洞。

適用平臺：
Windows Nt/2000 + Apusic Application Server1.0

詳細描述：
在訪問JSP頁面時，如果在請求URL的.jsp后綴后面加上一或多個'.'，會泄露JSP源代碼。
http://localhost:8080/index.jsp 服務器會正常解釋。
http://localhost:8080/index.jsp. 只要在后面加上一個.就會導致源代碼泄漏(可以通過瀏覽器的查看源代碼看到)。

原因：
由于Windows在處理文件名時，將"index.jsp"和"index.jsp."認為是同一個文件。

解決方法：
我們已經聯(lián)系了apusic公司，apusic公司現(xiàn)已更正這一漏洞，將很快發(fā)布補丁程序。
請隨時留意apusic公司主頁http://www.apusic.com發(fā)布的補丁程序信息。

后記：
我們對apusic服務器1.0版本進行了其它測試，發(fā)現(xiàn)目前APUSIC不存在其他多個應用服務器中發(fā)現(xiàn)的漏洞，如jsp后綴大小寫，url插入/file/漏洞，以及%2E、%81等等漏洞，可能是由于apusic服務器軟件發(fā)布比較晚的原因，所以特別注意了國外其他jsp服務器軟件的漏洞問題。