描述：
Unify的eWave ServletExec拒絕服務(wù)漏洞

詳細(xì)：
Unify的eWave ServletExec是一個JSP和Java Servlet引擎，它們被用作象Apache、IIS、Netscape等等流行的網(wǎng)絡(luò)服務(wù)器的插件。

發(fā)送一個URL請求可能引起ServletExec servlet引擎突然終止，但是web服務(wù)器不會受到影響。

可以通過在URL前加上servlet路徑前綴“/servlet”這樣可以強(qiáng)制調(diào)用任意的servlet。一個名為“ServletExec”的servlet存在于服務(wù)端。

強(qiáng)制執(zhí)行“ServletExec”servlet將導(dǎo)致servlet引擎初始化并試圖在80口上綁定一個服務(wù)器線程。如果服務(wù)器已經(jīng)運行，端口綁定操作將導(dǎo)致servlet引擎異常終止。

例如，如果ServletExec作為80端口上的web服務(wù)器插件運行在10.0.0.1上，攻擊者可打開一個80端口的連接，發(fā)出如下的GET請求使servlet引擎異常終止。
nc 10.0.0.1 80
GET /servlet/ServletExec HTTP/1.0
或者從瀏覽器中存取URL：http://10.0.0.1/servlet/ServletExec 也能達(dá)到相同的效果。

日志文件中將記錄如下內(nèi)容：
Received an exception when starting ServletExec:
java.net.BindException:
Address in use: bind

受影響的系統(tǒng)：
Unify eWave ServletExec 3.0C

解決方案：
升級到 ServletExec 3.0E 版本：
http://www.servletexec.com/downloads/