Bug 19914 - Jetty Information Disclosure and Cross-Site Scripting
Summary: Jetty Information Disclosure and Cross-Site Scripting
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: jetty6 (show other bugs)
Version: unstable
Hardware: all Linux
: P3 blocker
Assignee: viy
QA Contact: qa-sisyphus
URL: http://secunia.com/advisories/34975/
Keywords:
Depends on:
Blocks:
 
Reported: 2009-05-04 16:09 MSD by Vladimir Lettiev
Modified: 2010-09-28 21:01 MSD (History)
0 users

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Vladimir Lettiev 2009-05-04 16:09:25 MSD 
Несколько проблем обнаружено в jetty 6.x:
JETTY-1004 - ошибка в проверке входных данных HTTP-запроса, что может позволить получить доступ к файлам за пределами веб-приложения или корневого каталога документов веб-сервера.
JETTY-980 - данные полученные из URL не эскейпяться должным образом при отображении списка файлов в каталоге. Это позволяет внедрить произвольный html или JS код в вывод, что делает возможным XSS-атаку.

Исправление доступно в версии 6.1.17
Comment 1 Repository Robot 2010-09-28 21:01:18 MSD 
jetty6-0:6.1.22-alt1_1jpp6 -> sisyphus:

* Tue Sep 28 2010 Igor Vlasenko <viy@altlinux> 0:6.1.22-alt1_1jpp6
- new version (closes: #19914)