Bug 19914

Summary: Jetty Information Disclosure and Cross-Site Scripting
Product: Sisyphus Reporter: Vladimir Lettiev <crux>
Component: jetty6Assignee: viy <viy>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: blocker    
Priority: P3    
Version: unstable   
Hardware: all   
OS: Linux   
URL: http://secunia.com/advisories/34975/

Description Vladimir Lettiev 2009-05-04 16:09:25 MSD 
Несколько проблем обнаружено в jetty 6.x:
JETTY-1004 - ошибка в проверке входных данных HTTP-запроса, что может позволить получить доступ к файлам за пределами веб-приложения или корневого каталога документов веб-сервера.
JETTY-980 - данные полученные из URL не эскейпяться должным образом при отображении списка файлов в каталоге. Это позволяет внедрить произвольный html или JS код в вывод, что делает возможным XSS-атаку.

Исправление доступно в версии 6.1.17
Comment 1 Repository Robot 2010-09-28 21:01:18 MSD 
jetty6-0:6.1.22-alt1_1jpp6 -> sisyphus:

* Tue Sep 28 2010 Igor Vlasenko <viy@altlinux> 0:6.1.22-alt1_1jpp6
- new version (closes: #19914)