Дата публикации: | 13.02.2002 |
Всего просмотров: | 1276 |
Опасность: | |
Наличие исправления: | |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | |
Воздействие: | |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | |
Описание: | Oblix NetPoint создает объединенную e-business инфраструктуру, обеспечивая управление доступом и идентификацией, которые могут быть расширены на все e-business процессы.
Уязвимость найдена при совместной работе программы с WebSphere, и позволяет обходить ограничения защиты, наложенные на ресурс (JSP или другой). Принцип работы Oblix состоит в том, что она устанавливает ISAPI фильтр (называемый WebGate) в IIS, чтобы фиксировать все HTTP запросы. Затем каждый зафиксированный поступающий HTTP запрос, проверяется на наличие Oblix cookie, и если их там нет, возвращает экран вызова на браузер клиента. Как только клиент вошел, WebGate переадресовывает браузер к первоначальному запросу, который был сделан для ресурса. WebGate контролирует все последующие запросы о ресурсах и гарантирует, что клиент имеет надлежащий уровень доступа для таких ресурсов. Проблема возникает при попытке защитить ресурс, который содержит servlets/JSP, и чьи запросы обработаны WebSphere 4.0.1. ISAPI фильтр WebSphere и ISAPI фильтр Oblix WebGate установлены на том же самом web сервере с 'высоким' приоритетом. Обратите внимание, что оба фильтра установлены на уровне сервера, а не уровене сайта. Фильтр Oblix стоит выше в списке IIS, так ка ему требуется самый высокий приоритет всех "высоких" приоритетных дополнений к программе. Если мы выбираем URL, который обработан 'WAS’, IIS выполняет 'WAS’ ISAPI фильтр перед выполнением фильтра Oblix. Т.е. в результате этого запросы, сделанные к ресурсу обработанному 'WAS', не защищены. Суть проблемы не ясна, скорее всего она связанна с обной из следующих причин (или их комбинацией):
|
Ссылки: | Источник |