描述
此漏洞在ArcGIS Server 10.2 for Windows上被发现,在启用了ArcGIS Server Manager服务时,通过GET请求 [主机+端口]/arcgis/manager/3370/js/../WEB-INT/web.xml 地址,任意用户可获取ArcGIS的manager应用服务配置。
风险等级:低(被泄露的文件对所有此产品用户可见,不包含机密信息)
分析
ArcGIS后台网站采用J2EE并通过tomcat侦听,物理路径位于 [ArcGIS安装位置]\Server\framework\runtime\tomcat。
在tomcat下的manager应用配置文件(即webapps\arcgis#manager\WEB-INF\web.xml,也就是被暴露的文件本身)中,存在一条对虚拟路径“3370/*”进行解析的filter-mapping节点,该节点对匹配的访问执行“BuildNumFilter”过滤器,允许通过虚拟路径访问该应用下的子文件夹。该过滤器对路径处理存在尚未研明的问题,允许访问同级匹配的WEB-INF和META-INF文件夹。
方案
将问题所在应用的web.xml的filter-mapping的匹配url-pattern拆分为3条,即从“/3370/*”改为“3370/js/*”、“/3370/css/*”和“/3370/proxy/*”。此措施似乎规避了对系统文件夹的逃避审查,但详细原理尚不明确。