Érintett rendszerek
Java System Web ServerSun Microsystems
Érintett verziók
Sun Microsystems Java System Web Server 6.x, 7.x
Összefoglaló
A Sun Java System Web Server egy olyan sérülékenységét fedezték fel, amelyet a támadók kihasználhatnak érzékeny információk felfedésére.
Leírás
A Sun Java System Web Server egy olyan sérülékenységét fedezték fel, amelyet a támadók kihasználhatnak érzékeny információk felfedésére.
A sérülékenységet a Java Server oldalak kéréseinek hibás kezelése okozza, ami kihasználható a JSP források tartalmának felfedésére a “::$DATA” fájl kiterjesztéshez való hozzáfűzésével.
A sérülékenységet a 6.1 SP10, 6.1 SP11 és 7.0 (5-ös Windowsos frissítés) verziókban bizonyították. Más verziók is lehetnek érintettek.
Megoldás
Szűrje ki azokat a kéréseket, melyek JSP forrásához a “::$DATA”-t hozzáfűzték!
Támadás típusa
Information disclosure (Információ/adat szivárgás)Input manipulation (Bemenet módosítás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 35701
Egyéb referencia: isowarez.de
Egyéb referencia: www.vupen.com
CVE-2009-2445 - NVD CVE-2009-2445