Security Lab

Раскрытие установочной директории и конфигурационного файла в JBoss

Дата публикации:20.06.2005
Дата изменения:17.10.2006
Всего просмотров:1249
Опасность:
Низкая
Наличие исправления: Инстуркции по устранению
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Локальная сеть
Воздействие: Раскрытие системных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: JBoss AS 3.x
JBoss AS 4.x
Уязвимые версии: JBoss 3.2.2 - 3.2.7, 4.0.2

Описание:
Уязвимость позволяет удаленному пользователю получить данные об установочной директории приложения на системе и заполучить конфигурационный файл приложения.

Уязвимость существует в классе 'org.jboss.web.WebServer' из-за недостаточной обработки определенных запросов. Удаленный пользователь может с помощью специально сформированного GET запроса определить установочную директорию приложения и заполучить конфигурационный файл. Пример:

GET %. HTTP/1.0
GET %server.policy HTTP/1.0

URL производителя: www.jboss.org

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: Security Advisory: JBOSS 3.2.2-3.2.7 / 4.0.2 installation path