亚洲中文字幕无码久久2017,久久AV无码精品人妻系列,国产男女无遮挡猛进猛出,亚洲s码欧洲m码国产AV

安全公告編號(hào):CNTA-2016-0003

近日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了GlassFish存在任意文件讀取漏洞（CNVD-2016-00232）。攻擊者利用漏洞訪問(wèn)網(wǎng)站鏈接可獲得非授權(quán)訪問(wèn)的目錄文件列表，如:可讀取web應(yīng)用配置文件等，進(jìn)一步滲透構(gòu)成網(wǎng)站信息泄露和運(yùn)行風(fēng)險(xiǎn)。

一、漏洞情況分析

GlassFish是一款基于JavaEE5的商業(yè)兼容應(yīng)用服務(wù)器軟件，可用于Web容器及相關(guān)應(yīng)用的開(kāi)發(fā)、部署和分發(fā)。由于其在實(shí)現(xiàn)unicode編碼上存在缺陷，導(dǎo)致同一代碼的多重解析，如：java把"%c0%ae"解析為"\uC0AE"，最后轉(zhuǎn)義為ASCCII字符"."。攻擊者利用漏洞構(gòu)造目錄穿越回溯，獲得操作系統(tǒng)主機(jī)上的目錄文件列表。對(duì)于熟悉操作系統(tǒng)和Web容器架構(gòu)的攻擊者，構(gòu)成進(jìn)一步滲透網(wǎng)站系統(tǒng)的先決條件。CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高危”。

二、漏洞影響范圍

漏洞影響GlassFish 4.0 -4.1版本。根據(jù)CNVD初步普查的結(jié)果，互聯(lián)網(wǎng)上約有2.36萬(wàn)臺(tái)GlassFish服務(wù)器暴露在互聯(lián)網(wǎng)上，其中中國(guó)大陸地區(qū)為1184臺(tái)，占比約為5.0%，其他GlassFish服務(wù)器應(yīng)用較多的國(guó)家和地區(qū)分別有美國(guó) (占比38.4%)、巴西(占比6.9%)、德國(guó) (占比6.3%)、法國(guó)（占比3.2%）、英國(guó)（占比2.8%）、俄羅斯（2.7%）、加拿大(占比2.6%)?？傮w上看，該漏洞對(duì)北美、歐盟以及東亞等地區(qū)的影響較為嚴(yán)重。

三、漏洞修復(fù)建議

2015年10月，廠商發(fā)布了4.1.1版本修復(fù)該漏洞，目前該漏洞的攻擊利用代碼已經(jīng)在互聯(lián)網(wǎng)上傳播， CNVD提醒系統(tǒng)運(yùn)維人員及時(shí)到廠商主頁(yè)更新下載，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。https://glassfish.java.net/

附：參考鏈接：

http://www.wooyun.org/bugs/wooyun-2015-0144595

http://www.cnvd.org.cn/flaw/show/CNVD-2016-00232