Sicherheitslücke in GNUJSP

Die freie JavaServer-Pages-Implementierung GNUJSP weist einen Fehler auf, durch den über den Browser jeder die gesamte Verzeichnisstruktur eines Webservers mit GNUJSP einsehen kann. Das Problem besteht in einer fehlerhaften Interpretation der übergegebenen URLs. Der Bug, der eigentlich in JSERV (die Servlet-Engine für GNUJSP) vorliegt, ermöglicht den Zugriff über die einfache URL-Angabe "http://www.server.com/servlets/gnujsp/". Je nachdem, für was GNUJSP verwendet wird, können dadurch sensitive Daten unfreiwillig ins Netz gestellt werden. Das Sicherheitsloch bei muenchenticket beruhte beispielsweise auf diesem Fehler.

Das Sicherheitsproblem wurde auf Bugtraq gemeldet und die Entwickler informiert -- ob hier jedoch eine schnelle Reaktion erfolgt, ist fraglich: Offenbar wird das GNUJSP-Projekt nur noch wenig weiterentwickelt, auf der Mailingliste sind jedenfalls seit Monaten keine Mails mehr eingegangen. Einen Patch gibt es mittlerweile dennoch über das Debian-Projekt; die Linux-Distribution enthält GNUJSP 1.0.0 im aktuellen Release. Stefan Gybas, Debian-Maintainer für GNUJSP, stellt die Patches auf seiner Homepage bereit. (pab)