• Quienes somos
  • Nuestra Historia
  • Contactar
  • Políticas de Privacidad
  • Políticas IA
  • FUNDACIÓN
Informativos.Net
Medio online independiente desde 1999
Informativos.Net
  • Inicio
  • Life Style Magazine
  • Editorial
  • Secciones
    • Actualidad
    • Cultura
    • Entrevistas
    • Fake News
    • Gastronomia-Vinos
    • LifeStyle & Destinos
    • Medio Ambiente y Renovables
    • Seguridad, Autoprotección y emergencias
    • Salud
  • Archivo
    • Otros Paises
    • Panorama Mundial
    • Música
    • Noticias Curiosas
    • Cine
    • Empresas
    • Motor
    • Opinión del Lector
    • Chile
    • Catalunya
    • Publi-Reportajes
    • Tecnología
    • Vela
  • Políticas IA
  • Autores
    • Gema Castellano
    • Jose Escribano
    • Abel Marín
    • Christian Correa
    • Gustavo Egusquiza
    • Jesús Belenguer
    • Jose Anastasio Urra Urbieta
    • Pablo Arce
  • Sobre Gema Castellano
Tecnología

VULNERABLES LOS SERVIDORES CON JRUN 2.3

escrito por Jose Escribano 25 de octubre de 2000
0FacebookTwitterPinterestLinkedinRedditWhatsappTelegramThreadsBlueskyEmail
243

Allaire JRun es una suite de desarrollo de aplicaciones basadas en páginas JSP y Servlets en Java. Tras la instalación de este software en el servidor todo el sistema de archivos quedará accesible para cualquier visitante mediante simples peticiones web.

Se han descubierto varias vulnerabilidades en el motor JRun 2.3 que permiten la visualización del código fuente de cualquier archivo que se encuentre en el árbol del servidor web. Pero mediante el uso de esta misma vulnerabilidad también es posible consultar archivos que se encuentren fuera de la estructura del web, bajo el sistema de archivos del servidor.

La potencia que ofrecen las páginas .JSP junto con servlets en Java hace que empiece a extenderse el uso de esta tecnología, pero mediante una URL especialmente construida y haciendo uso del servlet SSIFilter un usuario remoto podrá conseguir acceso a cualquier archivo del servidor. Como es habitual, esto se produce ya que no se filtra de forma adecuada las rutas que incluyen la cadena

"../"

, lo que hace que una petici¢n se pueda escapar del servidor web.

La vulnerabilidad se puede reproducir como muestran los siguientes ejemplos de URLs maliciosas:

http://servidor.jrun/servlet/com.livesoftware.jrun.plugins.ssi.SSIFilter /../../test.jsp
http://servidor.jrun/servlet/com.livesoftware.jrun.plugins.ssi.SSIFilter /../../../../../../../boot.ini
http://servidor.jrun/servlet/ssifilter/../../test.jsp
http://servidor.jrun/servlet/ssifilter/../../../../../../../boot.ini

Allaire ha publicado un parche destinado a corregir esta vulnerabilidad.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=727

M s informaci¢n:

Parche para Windows 95/98/NT/2000:
http://download.allaire.com/jrun/jr233p_ASB00_28_29.zip

Parche para UNIX/Linux:
http://download.allaire.com/jrun/jr233p_ASB00_28_29.tar.gz

Aviso de seguridad de Foundstone:
http://www.foundstone.com/cgi-bin/display.cgi?Content_ID=230

JRun Homepage:
http://www.allaire.com/products/jrun/index.cfm

Bolet¡n de seguridad de Allaire
http://www.allaire.com/handlers/index.cfm?ID=17968&Method=Full

Antonio Ropero
antonior@hispasec.com

http://www.hispasec.com

Autor

  • JAE
    Jose Escribano

    Responsable de Contenidos en Informativos.Net

    Ver todas las entradas
anterior
LAS FARC-EP Y EL GOBIERNO COLOMBIANO LOGRARON DESTRABAR LAS CONVERSACIONES DE PAZ
siguiente
WEBPILOT MEJORA LA PRESENCIA DE LAS EMPRESAS EN LA RED

También te puede interesar

DragonForce, el cártel de ransomware que está rediseñando...

8 de mayo de 2025

La decadencia digital: cuando internet pierde la memoria

18 de febrero de 2025

Microsoft lanza Copilot en WhatsApp para asistencia con...

2 de octubre de 2024

Los 15 trabajos más expuestos a la automatización...

24 de marzo de 2024

LAS PANTALLAS DE LOS COCHES VAN A DESAPARECER

21 de enero de 2023

Entrevista a Esther Paniagua: «Error 404» es una...

22 de octubre de 2021

Visión artificial para contar aglomeraciones de personas

27 de febrero de 2018

YONDER: la app de karaoke para que muestres...

25 de marzo de 2017

Abierto el plazo de solicitudes participar en el...

29 de agosto de 2016

COLABORA CON NUESTRA FUNDACIÓN

https://t.me/informativosnet

Nos cuidan…


  • Facebook
  • Twitter
  • Instagram
  • Linkedin
  • Youtube
  • Email
  • Spotify
  • Whatsapp
  • Telegram
  • Rss

© 1999-2025 • Fundación Informativos.Net


Ir arriba
Informativos.Net
  • Inicio
  • Life Style Magazine
  • Editorial
  • Secciones
    • Actualidad
    • Cultura
    • Entrevistas
    • Fake News
    • Gastronomia-Vinos
    • LifeStyle & Destinos
    • Medio Ambiente y Renovables
    • Seguridad, Autoprotección y emergencias
    • Salud
  • Archivo
    • Otros Paises
    • Panorama Mundial
    • Música
    • Noticias Curiosas
    • Cine
    • Empresas
    • Motor
    • Opinión del Lector
    • Chile
    • Catalunya
    • Publi-Reportajes
    • Tecnología
    • Vela
  • Políticas IA
  • Autores
    • Gema Castellano
    • Jose Escribano
    • Abel Marín
    • Christian Correa
    • Gustavo Egusquiza
    • Jesús Belenguer
    • Jose Anastasio Urra Urbieta
    • Pablo Arce
  • Sobre Gema Castellano