Beliebiger Dateizugriff in Cauchos Resin-Server
Der Java-Servlet-Server Resin von Caucho erlaubt Angreifern beliebigen Dateizugriff.
Der Java-Servlet-Server Resin von Caucho ist von mehreren Schwachstellen betroffen, durch die Angreifer auf beliebige Dateien auf dem Server zugreifen und so auch an vertrauliche Informationen gelangen könnten. Laut einer Sicherheitsmeldung vom Sicherheitsdienstleister Rapid7 erlaubt der integrierte Webserver, der standardmäßig auf Port 8080 lauscht, mit URLs wie http://resin-server:8080/C:%5C/ etwa auf den Windows-Pfad C:\ zuzugreifen.
Eine weitere Sicherheitsmeldung vom Sicherheitsunternehmen ScanAlert beschreibt eine Schwachstelle im integrierten Dokumentationsanzeige-Applet viewfile (http://resin-server:8080/resin-doc/viewfile/?file=), das nicht nur die Dokumentation, sondern beliebige Dateien auf dem Server anzeigt. Caucho legt mit der Version 3.0.19 von Resin eine fehlerbereinigte Fassung des Servers nach.
Siehe dazu auch: (dmk)
- Caucho Resin Windows Directory Traversal Vulnerability, Sicherheitsmeldung von Rapid7
- Caucho Resin Multiple Vulnerabilities - Arbitrary File Access & Information Disclosure, Fehlermeldung auf Full Disclosure von ScanAlert
- Download der fehlerbereinigten Caucho-Version