Menü

Beliebiger Dateizugriff in Cauchos Resin-Server

vorlesen Drucken Kommentare lesen 1 Beitrag

Der Java-Servlet-Server Resin von Caucho ist von mehreren Schwachstellen betroffen, durch die Angreifer auf beliebige Dateien auf dem Server zugreifen und so auch an vertrauliche Informationen gelangen könnten. Laut einer Sicherheitsmeldung vom Sicherheitsdienstleister Rapid7 erlaubt der integrierte Webserver, der standardmäßig auf Port 8080 lauscht, mit URLs wie http://resin-server:8080/C:%5C/ etwa auf den Windows-Pfad C:\ zuzugreifen.

Eine weitere Sicherheitsmeldung vom Sicherheitsunternehmen ScanAlert beschreibt eine Schwachstelle im integrierten Dokumentationsanzeige-Applet viewfile (http://resin-server:8080/resin-doc/viewfile/?file=), das nicht nur die Dokumentation, sondern beliebige Dateien auf dem Server anzeigt. Caucho legt mit der Version 3.0.19 von Resin eine fehlerbereinigte Fassung des Servers nach.

Siehe dazu auch: (dmk)