Apusic Application Server1.0中jsp源代碼泄漏漏洞

軟件介紹：
Apusic Application Server1.0是Apusic公司開發出的中國第一個完整支持J2EE(Java 2 Platform, Enterprise Edition)的產品。Apusic采用純Java語言編寫，支持EJB1.1，Servlet，JSP，JMS等，支持多種平臺。

漏洞描述：
Jsp愛好者網站(http://jspbbs.yeah.net)在試用apusic server1.0產品中發現了一個可以泄漏jsp源代碼的漏洞。

適用平臺：
Windows Nt/2000 + Apusic Application Server1.0

詳細描述：
在訪問JSP頁面時，如果在請求URL的.jsp后綴后面加上一或多個'.'，會泄露JSP源代碼。
http://localhost:8080/index.jsp 服務器會正常解釋。
http://localhost:8080/index.jsp. 只要在后面加上一個.就會導致源代碼泄漏(可以通過瀏覽器的查看源代碼看到)。

原因：
由于Windows在處理文件名時，將"index.jsp"和"index.jsp."認為是同一個文件。

解決方法：
我們已經聯系了apusic公司，apusic公司現已更正這一漏洞，將很快發布補丁程序。
請隨時留意apusic公司主頁http://www.apusic.com發布的補丁程序信息。

后記：
我們對apusic服務器1.0版本進行了其它測試，發現目前APUSIC不存在其他多個應用服務器中發現的漏洞，如jsp后綴大小寫，url插入/file/漏洞，以及%2E、%81等等漏洞，可能是由于apusic服務器軟件發布比較晚的原因，所以特別注意了國外其他jsp服務器軟件的漏洞問題。

原文轉自：http://www.kjueaiud.com