Раскрытие установочной директории и конфигурационного файла в JBoss

Дата публикации:
20.06.2005
Дата изменения:
17.10.2006
Всего просмотров:
1073
Опасность:
Низкая
Наличие исправления:
Инстуркции по устранению
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Локальная сеть
Воздействие:
Раскрытие системных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
JBoss AS 3.x
JBoss AS 4.x
Уязвимые версии: JBoss 3.2.2 - 3.2.7, 4.0.2

Описание:
Уязвимость позволяет удаленному пользователю получить данные об установочной директории приложения на системе и заполучить конфигурационный файл приложения.

Уязвимость существует в классе 'org.jboss.web.WebServer' из-за недостаточной обработки определенных запросов. Удаленный пользователь может с помощью специально сформированного GET запроса определить установочную директорию приложения и заполучить конфигурационный файл. Пример:

GET %. HTTP/1.0
GET %server.policy HTTP/1.0

URL производителя: www.jboss.org

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: Security Advisory: JBOSS 3.2.2-3.2.7 / 4.0.2 installation path

или введите имя

CAPTCHA