Allaire JRun es una suite de desarrollo de aplicaciones basadas en páginas JSP y Servlets en Java. Tras la instalación de este software en el servidor todo el sistema de archivos quedará accesible para cualquier visitante mediante simples peticiones web.
Se han descubierto varias vulnerabilidades en el motor JRun 2.3 que permiten la visualización del código fuente de cualquier archivo que se encuentre en el árbol del servidor web. Pero mediante el uso de esta misma vulnerabilidad también es posible consultar archivos que se encuentren fuera de la estructura del web, bajo el sistema de archivos del servidor.
La potencia que ofrecen las páginas .JSP junto con servlets en Java hace que empiece a extenderse el uso de esta tecnología, pero mediante una URL especialmente construida y haciendo uso del servlet SSIFilter un usuario remoto podrá conseguir acceso a cualquier archivo del servidor. Como es habitual, esto se produce ya que no se filtra de forma adecuada las rutas que incluyen la cadena
"../"
, lo que hace que una petici¢n se pueda escapar del servidor web.
La vulnerabilidad se puede reproducir como muestran los siguientes ejemplos de URLs maliciosas:
http://servidor.jrun/servlet/com.livesoftware.jrun.plugins.ssi.SSIFilter /../../test.jsp
http://servidor.jrun/servlet/com.livesoftware.jrun.plugins.ssi.SSIFilter /../../../../../../../boot.ini
http://servidor.jrun/servlet/ssifilter/../../test.jsp
http://servidor.jrun/servlet/ssifilter/../../../../../../../boot.ini
Allaire ha publicado un parche destinado a corregir esta vulnerabilidad.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=727
M s informaci¢n:
Parche para Windows 95/98/NT/2000:
http://download.allaire.com/jrun/jr233p_ASB00_28_29.zip
Parche para UNIX/Linux:
http://download.allaire.com/jrun/jr233p_ASB00_28_29.tar.gz
Aviso de seguridad de Foundstone:
http://www.foundstone.com/cgi-bin/display.cgi?Content_ID=230
JRun Homepage:
http://www.allaire.com/products/jrun/index.cfm
Bolet¡n de seguridad de Allaire
http://www.allaire.com/handlers/index.cfm?ID=17968&Method=Full
Antonio Ropero
antonior@hispasec.com
http://www.hispasec.com