描述：
Allair JRUN 非法讀取 WEB-INF 漏洞

詳細(xì)：
在Allaire 的 JRUN 服務(wù)器 2.3版本中存在一個(gè)嚴(yán)重的安全漏洞。它允許一個(gè)攻擊者在 JRun 3.0 服務(wù)器中查看 WEB-INF 目錄。

如果用戶在提交 URL 請(qǐng)求時(shí)在，通過附加一個(gè)“/”使該 URL 成為畸形的 URL，這時(shí) WEB-INF 下的所有子目錄將會(huì)暴露出來。攻擊者巧妙的利用該漏洞將能夠遠(yuǎn)程獲得目標(biāo)主機(jī)系統(tǒng)中 WEB-INF 目錄下的所有文件的讀取權(quán)限。

例如使用下面這個(gè) URL 將會(huì)暴露 WEB-INF 下的所有文件：
http://site.running.jrun:8100//WEB-INF/

受影響的系統(tǒng)：
Allaire JRun 3.0

解決方案：
下載并安裝補(bǔ)?。?BR>Allaire patch jr233p_ASB00_28_29
http://download.allaire.com/jrun/jr233p_ASB00_28_29.zip
Windows 95/98/NT/2000 and Windows NT Alpha

Allaire patch jr233p_ASB00_28_29tar
http://download.allaire.com/jrun/jr233p_ASB00_28_29.tar.gz
UNIX/Linux patch - GNU gzip/tar