CH azonosító
CH-6387Angol cím
Apache MyFaces "javax.faces.resource" File Disclosure VulnerabilityFelfedezés dátuma
2012.02.09.Súlyosság
KözepesÉrintett rendszerek
Apache Software FoundationMyFaces
Érintett verziók
Apache MyFaces 2.0.x
Apache MyFaces 2.1.x
Összefoglaló
Az Apache MyFaces olyan sérülékenységét jelentették, amelyet a támadók kihasználva bizalmas adatokat szivárogtathatnak ki.
Leírás
Az URL-hez hozzáfűzött vagy az “ln” paraméter által átadott bemeneti adat a “javax.faces.resource” erőforrás kezelőnek nincs megfelelően ellenőrizve, mielőtt fájlok megjelenítésére felhasználásra kerülne. Ez kihasználható bizonyos helyi útvonalon elhelyezett fájlok kiszivárogtatására könyvtár bejárással (directory traversal).
A sérülékenységet a 2.0.1 és 2.0.11, valamint a 2.1.0 és 2.1.5 közötti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 47973
CVE-2011-4367 - NVD CVE-2011-4367
Egyéb referencia: mail-archives.apache.org
