首页 -> 安全研究
安全研究
安全漏洞
Macromedia JRun远程管理服务验证绕过漏洞
发布日期:2002-06-28
更新日期:2002-07-05
受影响系统:
描述:
Macromedia JRun 3.0
- IBM AIX 4.3
- IBM AIX 4.2
- Microsoft Windows NT 4.0
- Microsoft Windows 2000
- RedHat Linux 6.0
- SGI IRIX 6.5
- Sun Solaris 7.0
- Sun Solaris 2.6
Macromedia JRun 3.1
- IBM AIX 4.3
- IBM AIX 4.2
- Microsoft Windows NT 4.0
- Microsoft Windows 2000
- RedHat Linux 6.1
- RedHat Linux 6.0
- SGI IRIX 6.5
- Sun Solaris 7.0
- Sun Solaris 2.6
Macromedia JRun 4.0
- Microsoft Windows NT 4.0
- Microsoft Windows 2000
BUGTRAQ ID: 5118
Macromedia JRun是一款Macromedia公司开发的Java 应用服务器,提供快速、可靠的J2EE兼容平台。
Macromedia JRun的WEB管理控制台对用户输入缺少正确检查,远程攻击者可以利用这个漏洞绕过验证来访问管理功能。
Macromedia JRun默认在系统中安装基于WEB的管理控制台,监听TCP 8000端口,用户要访问管理控制台必须通过HTML表单进行登录,不过此HTML表单对用户输入缺少过滤,远程攻击者可以在URL插入'/'字符绕过登录表单而获得对WEB管理接口的访问。
<*来源:Matt Moore (matt@westpoint.ltd.uk)
链接:http://archives.neohapsis.com/archives/bugtraq/2002-06/0372.html
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Matt Moore (matt@westpoint.ltd.uk)提供了如下测试方法:
提交如下请求:
JRun-Server:8000//welcome.jsp?&action=stop&server=default
可关闭监听在8100端口的'default' JRun服务,其他管理功能也能通过类似上面的方法访问。
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 暂时没有合适的临时解决方法。
厂商补丁:
Macromedia
----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Macromedia JRun 3.0:
Macromedia Patch jrun-30-win-upgrade-en_49297.exe
http://download.macromedia.com/pub/security/jrun/30/intel-win/jrun-30-win-upgrade-en_49297.exe
针对Macromedia JRun 3.0/Windows系统的补丁。
Macromedia Patch jrun-30-unix-upgrade-us_49297.sh
http://download.macromedia.com/pub/security/jrun/30/unix/jrun-30-unix-upgrade-us_49297.sh
针对Macromedia JRun 3.0/UNIX和Linux系统的补丁。
Macromedia JRun 3.1:
Macromedia Patch jrun-31-win-upgrade-en_49297.exe
http://download.macromedia.com/pub/security/jrun/31/intel-win/jrun-31-win-upgrade-en_49297.exe
针对Macromedia JRun 3.1/Windows系统的补丁。
Macromedia Patch jrun-31-unix-upgrade-us_49297.sh
http://download.macromedia.com/pub/security/jrun/31/unix/jrun-31-unix-upgrade-us_49297.sh
针对Macromedia JRun 3.1/UNIX和Linux系统的补丁。
Macromedia JRun 4.0:
Macromedia Patch MPSB02-06_jrun4-patch.zip
http://download.macromedia.com/pub/security/jrun/40/MPSB02-06_jrun4-patch.zip
针对Macromedia JRun 4.0/Windows系统的补丁。
Macromedia Patch MPSB02-06_jrun4-patch.zip
http://download.macromedia.com/pub/security/jrun/40/MPSB02-06_jrun4-patch.zip
针对Macromedia JRun 4.0/UNIX和Linux系统的补丁。
浏览次数:4738
严重程度:0(网友投票)
绿盟科技给您安全的保障