Раскрытие root пароля в IBM WebSphere
| Дата публикации: | 15.12.2001 |
| Всего просмотров: | 1340 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | IBM WebSphere - сервер Web приложений, который выполняется на ряде платформ.
Root пароль для AIX, Linux и Sun systems, хранится в виде открытого текста в файле, называемом $WASROOT/properties/sas.server.props, который не читаем некорневыми пользователями. Однако IBM WebSphere обычно выполняется как корень в заданных по умолчанию инсталляциях. Кроме того, весь Java код, также выполняется с привилегиями корня. Т.е. локальный непривилегированный пользователь, может создать JSP сценарий, который может прочитать файл $WASROOT/properties/sas.server.props. Уязвимоть найдена в IBM WebSphere 3.0.2.4-3.5.3 В качестве устранения проблемы, не запускайте IBM WebSphere как root. Как это сделать можно прочитать здесь:
http://www-1.ibm.com/servlet/support/manager?rs=180&rt=0&org=SW&doc=1005677 |
| Ссылки: | http://www-4.ibm.com/software/webservers/appserv/ |