情報源
US-CERT Vulnerability Note VU#402580
Jetty HTTP server directory traversal vulnerability
http://www.kb.cert.org/vuls/id/402580
概要
Java ベースの Web サーバ Jetty には、ディレクトリトラバーサルの
脆弱性があります。結果として、遠隔の第三者が細工した URL を処理
させることで、機密情報を取得する可能性があります。
対象となるバージョンは以下の通りです。
- Jetty 6.1.16 およびそれ以前
- Jetty 7.0.0.M2 およびそれ以前
この問題は、配布元が提供する修正済みのバージョンに Jetty を更新
することで解決します。
関連文書 (英語)
Mort Bay Consulting
Jetty
http://jetty.mortbay.org/jetty/
Mort Bay Consulting
Vulnerability in ResourceHandler and DefaultServlet with aliases
http://jira.codehaus.org/browse/JETTY-1004
