Дата публикации: | 15.12.2001 |
Всего просмотров: | 1307 |
Опасность: | |
Наличие исправления: | |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | |
Воздействие: | |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | |
Описание: | IBM WebSphere - сервер Web приложений, который выполняется на ряде платформ.
Root пароль для AIX, Linux и Sun systems, хранится в виде открытого текста в файле, называемом $WASROOT/properties/sas.server.props, который не читаем некорневыми пользователями. Однако IBM WebSphere обычно выполняется как корень в заданных по умолчанию инсталляциях. Кроме того, весь Java код, также выполняется с привилегиями корня. Т.е. локальный непривилегированный пользователь, может создать JSP сценарий, который может прочитать файл $WASROOT/properties/sas.server.props. Уязвимоть найдена в IBM WebSphere 3.0.2.4-3.5.3 В качестве устранения проблемы, не запускайте IBM WebSphere как root. Как это сделать можно прочитать здесь:
http://www-1.ibm.com/servlet/support/manager?rs=180&rt=0&org=SW&doc=1005677 |
Ссылки: | http://www-4.ibm.com/software/webservers/appserv/ |