Es posible obtener el código fuente de las aplicaciones .ASA y .JSP residentes en un servidor JRun 4.0 simplemente añadiendo unos caracteres especiales en la URL.
JRun 4.0 de Macromedia es un servidor J2EE diseñado para ejecutarse en servidores web para das soporte aplicaciones basadas en páginas JSP y Servlets en Java.
Cuando en la URL se añaden unos caracteres especiales (%3f.jps o ?.jsp), el servidor JRun actúa de forma errónea y visualiza el código fuente de la aplicación. Esto no únicamente releva la lógica del funcionamiento de las aplicaciones sino que en muchas ocasiones este código fuente puede contener contraseñas de acceso a bases de datos. También puede facilitar a un atacante información sobre la ubicación de los recursos, la estructura de la red y del modelo de negocio.
Esta vulnerabilidad sólo afecta a JRun versión 4.0 cuando se ejecuta en Windows 2000 Server con Internet Information Server como servidor web.
Macromedia ha publicado un parche que soluciona esta vulnerabilidad, así como los otros problemas de seguridad conocidos hasta la fecha en JRun.
Más información
Boletín de seguridad de Macromedia (MPSB02-06)
Cumulative Security Match available for JRun 3.0, 3.1 and 4.0
http://www.macromedia.com/v1/handlers/index.cfm?ID=23164
Compartir en redes sociales
Usuarios: 
14 de julio de 2002
Valoración del artículo:
