Risque

  • Divulgation de données

Systèmes affectés

De nombreux serveurs web supportant les « Web Applications » comme par exemple :

  • serveur Sybase versions antérieures à la version 4.1 ;
  • serveur Oracle versions antérieures à la version 9.0.2 ;
  • serveur Jrun versions 3.0, 3.1 et 4.0 ;
  • serveur Orion versions antérieures à la version 1.5.4 ;
  • serveur HPAS version 8.0 ;
  • serveur Jo Webserver versions antérieures à la version 1.0b7.

Résumé

Une vulnérabilité présente dans de nombreux moteurs de « servlets » permet à un utilisateur mal intentionné d'accéder aux fichiers présents dans le répertoire WEB-INF. Les servlets sont l'équivalent des CGI (Common Gateway Interfaces) dans le langage Java.

Description

Une « Web Application » est une collection de fichiers regroupés dans un fichier archive .war. Ce fichier archive est toujours organisé selon le même principe : des fichiers JSP (Java Server Pages), des fichiers html, d'autres fichiers et un répertoire WEB-INF contenant les fichiers nécessaires au fonctionnement des servlets mais réservé en lecture et en écriture aux développeurs.

Une vulnérabilité présente dans de nombreux moteurs de « servlets » permet à utilisateur mal intentionné d'accéder au contenu de ce répertoire, et donc aux fichiers de configuration des servlets ou encore aux informations de sessions des utilisateurs.

Solution

Appliquer le correctif correspondant à votre serveur Web (cf section documentation).

Documentation