Расширенный
База уязвимостей

Чтение директорий списков

2 февраля 2021
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
Apache Tomcat (4.0.0, 4.0.6, 4.1.0, 4.1.31, 5.0.0, 5.0.30, 5.5.0, 5.5.12)
Описание
Apache Tomcat позволяет злоумышленникам, действующим удаленно, просматривать списки каталогов, используя точку с запятой перед именем файла со стандартным расширением, как показано на примере URL, заканчивающегося на /;index.jsp и /;help.do.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://tomcat.apache.org/
Ссылки
FULLDISC (20060721 Directory Listing in Apache Tomcat 5.x.x): http://archives.neohapsis.com/archives/fulldisclosure/2006-07/0467.html
BID (19106): http://www.securityfocus.com/bid/19106
XF (apache-tomcat-url-information-disclosure(27902)): http://xforce.iss.net/xforce/xfdb/27902
SECTRACK (1016576): http://securitytracker.com/id?1016576
http://tomcat.apache.org/security-4.html
http://tomcat.apache.org/security-5.html
BUGTRAQ (20070509 SEC Consult SA-20070509-0 :: Multiple vulnerabilites in Nokia Intellisync Mobile Suite & Wireless Email Express): http://www.securityfocus.com/archive/1/archive/1/468048/100/0/threaded
http://www.sec-consult.com/289.html
FRSIRT (ADV-2007-1727): http://www.frsirt.com/english/advisories/2007/1727
XF (nokia-tomcat-source-code-disclosure(34183)): http://xforce.iss.net/xforce/xfdb/34183