IBM WebSphere Application Server 3.0.2 存在暴露源代碼漏洞

涉及程序：
IBM WebSphere Application Server 3.0.2

描述：
IBM WebSphere Application Server 3.0.2 存在暴露源代碼漏洞

詳細：
IBM WebSphere Application Server 允許攻擊者查看 Web server 根目錄以上的所有文件。IBM WebSphere 使用 Java Servlets 處理多種頁面類型的分析(如 HTML, JSP, JHTML, 等等)。In addition 不同的 servlets 對不同的頁面進行處理，如果一個請求的文件是未進行注冊管理的，WebSphere 會使用一個默認的 servlet 作調用。如果文件路徑以"/servlet/file/"作開頭這個默認的 servlet 會被調用這個請求的文件會未被分析或編譯就顯示出來。

受影響系統:
IBM WebSphere 3.0.2 的所有版本

舉例：
如果一個請求文件的 URL 為 "login.jsp":
http://site.running.websphere/login.jsp
那么訪問
http://site.running.websphere/servlet/file/login.jsp
將看到這個文件的源代碼。

解決方案：
下載并安裝補丁:
http://www-4.ibm.com/software/webservers/appserv/efix.html

相關站點：
http://www-4.ibm.com/software/webservers/appserv/

原文轉自：http://www.anti-gravitydesign.com