- ベストアンサー
JSPのソースがみれてしまう。
ssm3uです。毎回お世話になっています。 カテゴリーが少々違うような気がする点、ご了承ください。 apache2.0.40-tomcat4.0.4 でJSPを作成しました。 URL : //www.A.jp/ssm3u/jsp/Hello.jsp で 問題なくJSPが実行されます。しかし URL : //www.A.jp//ssm3u/jsp/Hello.jsp (ssm3u の前に / をもう一つ追加) にするとJSPのソースが丸々ブラウザに表示されます。 セキュリティホールになるため、修正してください。 apacheの設定(httpd.conf)周りではないかとネットワーク管理者に言われました。 どのあたりを修正するのが良いのでしょうか? 管理者にapacheの設定を見てもらうことができず悩んでいます。
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
おっと、はやとちりでしたね。 まあ、そんなurlでアクセスできてしまう時点でセキュリティーホールっぽい気がしますが。 apache2.0系ですのでmod_jk1.2.0を利用しているのですよね。 JkMount /ssm3u/jsp/*.jsp ajp13 といった感じで記述されていませんか? ちょっと横暴ですがこう設定することで回避することが可能です。 JkMount /*.jsp ajp13 P.S apache1.3ではこんな動作しないのですがね(汗) 確認環境 windows2000(apache2.0.42+tomcat4.0.6+mod_jk-2.0.42.dll)
その他の回答 (2)
- Harry_
- ベストアンサー率55% (36/65)
tomcat4.0.4 のセキュリティホールは InvokerServlet と DefaultServlet を利用した URL へのアクセスによるもので、 質問されている問題とは別です。 質問されてる方の言うとおり、apache との連携まわりの 問題だと思います。
お礼
ありがとうございます。 現在いまだ解決にいたらずです。 apache+mod_jk+tomcatで動いていますので mod_jk.confの設定ミスではないかと引続き調査中です。 何か思いつく点などありましたらご教授いただけると幸いです。
- KaZtoYou
- ベストアンサー率73% (11/15)
tomcat4.0.4のセキュリティホールだと思います。 セキュリティ対応バージョンが提供されているので 最新のモジュールを落としてくれば解決できるのではないでしょうか?
お礼
日本語サイトの方を見てみました。 ちょっと質問内容と違うような気もするのですが、 tomcat4.0.4 は危ない!という情報を得ることができました。、 4.0.6 or 4.1.12(?)へバージョンアップを行います。 ありがとうございました。
お礼
できました。本当にありがとうございます。 まさにこのとおりでした。 JkMount /ssm3u/*.jsp ajp13 を JkMount /*.jsp ajp13 に変更したら //アクセスが エラー(404 is not available)になりました。 あと、サーブレットのJkMountとして JkMount /ssm3u/servlet/* ajp13 としているのですが、これも問題あるのでしょうか? 今のところソースが見えるなどの不具合もないのですが、、