拓尔思TRSWAS5.0文件读取漏洞
漏洞证明
一、漏洞描述:
拓尔思中文检索系统TRSWAS5.0web/tree接口treefile参数存在文件读取漏洞,可读取数据库配置文件、账户密码等信息,导致配置文件信息泄露威胁网站安全。
漏洞影响版本:TRSWAS 5.0
漏洞影响危害:中危
二、漏洞检测方式:
将***.com替换域名或对应IP直接访问可读取出配置文件信息。
http://***.com//was5/web/tree?treefile=/WEB-INF/classes/com/trs/was/resource/wasconfig.properties
三、漏洞修复方式:
目前官方已经在新的版本中修复该漏洞,可从官方下载进行升级相应组件或者使用附件里的文件trswas.jar替换目录D:\TRS\TRSWAS5.0\Tomcat\webapps\was5\WEB-INF\lib下的文件
附升级步骤:
Windows:
1、停止运行中的WEBSPHERE
2、在./websphere/appserver/目录下新建 update/ 目录
3、将was51_fp1_win.zip解压到 update/目录下
4、打开一个命令符窗口,到 ./websphere/appserver/bin 下面,执行setupCmdLine.bat
5、到./websphere/appserver/update/目录下面,执行 updateWizard.bat
6、按界面提示执行下一步
Linux:
1、停止运行中的WEBSPHERE
2、在./websphere/appserver/目录下新建 update/ 目录
3、将was51_fp1_linux.tar.gz解压到 update/目录下
4、到XWINDOW下面(startx)
5、打开一个命令符窗口到 ./websphere/appserver/bin 下面,执行source ./setupCmdLine.sh
6、到./websphere/appserver/update/目录下面,执行 updateWizard.sh
7、按界面提示执行下一步
