Несколько уязвимостей в Macromedia JRun сервере
| Дата публикации: | 26.09.2004 |
| Дата изменения: | 17.10.2006 |
| Всего просмотров: | 1037 |
| Опасность: | Средняя |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: |
CVE-2004-0646 CVE-2004-1477 CVE-2004-1478 CVE-2004-1479 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Отказ в обслуживании Раскрытие важных данных Внедрение в сессию пользователя Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
Macromedia JRun 4.x
Macromedia JRun 3.x |
| Уязвимые версии: Macromedia JRun 3.0, 3.1, и 4.0
Описание: Несколько уязвимостей обнаружено в Macromedia JRun сервере. Удаленный пользователь может выполнить XSS и нападение фиксации сессии. Удаленный пользователь может также просмотреть исходный код некоторых типов файлов на системе. Удаленный пользователь может вызвать переполнение буфера. Ошиба в JRun 4.0 в создании и обработке JSESSIONID может позволить удаленному пользователю внедриться в сессию другого пользователя или выполнить нападение фиксации сессии. Несколько уязвимостей в проверке правильности пользовательских данных в JRUn 4.0 Management Console позволяют удаленному пользователю выполнить XSS нападение и нападение фиксации сессии. Удаленный пользователь может представить специально обработанный запрос, заканчивающийся строкой ';.cfm' к целевому JRun серверу, чтобы просмотреть исходный код некоторых файлов на системе, которые не ассоциированы с Macromedia расширениями (например .php, .asp, .pl). Также сообщается, что если включен режим отладки 'verbose' на конекторе JRun web сервера, то удаленный пользователь может вызвать переполнение буфера. URL производителя: http://www.macromedia.com/devnet/security/security_zone/mpsb04-08.html Решение:Установите обновление: http://www.macromedia.com/devnet/security/security_zone/mpsb04-08.html |
|
| Ссылки: | JRun 3.0, 3.1, and 4.0 are affected. |