Java-Server für J2EE-Applikationen verwundbar
Der Java-Server JBoss enthält eine Schwachstelle, mit denen Angreifer ein System kompromittieren können.
In einer Meldung auf Bugtraq wird von einem Fehler in der Datenbank-Komponente (HSQLDB) des JBoss-Servers berichtet. Betroffen sind die Versionen 3.2.1 und 3.0.8 auf allen Plattformen. JBoss ist ein auf Java basierender J2EE-Application-Server mit Open-Source-Lizenz.
Sendet ein Angreifer spezielle SQL-Pakete an den HSQLDB-Datenbankdienst (Port 1701), kann er das System manipulieren und sogar eigenen Code in das System einschleusen und ausführen. Letzteres haben die Entdecker der Schwachstelle bisher nur für Windows-Plattformen erfolgreich getestet. Dabei handelt es sich nicht um einen Buffer Overflow, sondern um Command Injection, bei der beliebiger Java-Code in das System injiziert wird.
Die Schwachstelle beruht dem Advisory zufolge auf Fehlern in den Java-Klassen sun.* und org.apache.* sowie der fehlerhaften Standardkonfiguration von JBoss. Das Advisory betont aber, dass potenziell auch andere Systeme gefährdet sein können, die HSQLDB im Netzwerk verwenden. Die Entwickler von JBoss haben das Problem bestätigt und auf Sourceforge eine Anleitung zum Patchen veröffentlicht.
Siehe dazu auch: (dab)
- Security Advisory auf Bugtraq
- Patch auf Sourceforge
