CH azonosító
CH-4900Angol cím
Sun GlassFish Enterprise Server Authentication Bypass VulnerabilityFelfedezés dátuma
2011.05.11.Súlyosság
KözepesÉrintett rendszerek
OracleSun GlassFish Enterprise Server
Érintett verziók
Sun GlassFish Enterprise Server 2.x
Sun GlassFish Enterprise Server 3.x
Összefoglaló
A Sun GlassFish Enterprise Server olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók megkerülhetnek bizonyos biztonsági szabályokat.
Leírás
A sérülékenységet az okozza, hogy az adminisztrációs konzol engedélyezi a hitelesítés nélküli hozzáférést HTTP TRACE móddal. Ez kihasználható a hitelesítési mechanizmus megkerülésére és egyes információkhoz történő hozzáférésre (pl.: naplófájlok, JDBC kapcsolat készlet tulajdonságok).
A sérülékenységet a Sun GlassFish Enterprise Server 2.1.1-es és 3.0.1-es verzióiban jelentették.
Megoldás
Frissítsen a 3.1.es verzióra. A 2.x verziókhoz a javítás kiadása 2011 júliusában várható.
Támadás típusa
Security bypass (Biztonsági szabályok megkerülése)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
SECUNIA 44499
Egyéb referencia: www.coresecurity.com
CVE-2011-1511 - NVD CVE-2011-1511