| L'équipe Vigil@nce veille les vulnérabilités qui affectent votre parc informatique, puis propose les correctifs, une base et les outils pour y remédier. |
|
 |
|
|
|
vulnérabilité CVE-2009-2445
Sun Web Server : lecture de code JSP
Synthèse de la vulnérabilité
| Lorsque Sun Java System Web Server est installé sous Windows, un attaquant peut employer une requête spéciale afin de lire le code source des pages JSP. |
Gravité : 2/4.
Date création : 06/07/2009.
|
Produits concernés
Description de la vulnérabilité
La fonctionnalité ADS (Alternate Data Streams) de NTFS permet d'associer des données complémentaires à un fichier. Par exemple "fichier.txt:stream" associe des données complémentaires à fichier.txt.
Les pages JSP (Java Server Pages) sont interprétées par le serveur web Sun Java System Web Server, afin de délivrer un document HTML à l'utilisateur. L'utilisateur ne peut pas lire le code source des pages JSP.
Cependant, si l'url se termine par un ADS, le code source du fichier correspondant est délivré à l'utilisateur.
Lorsque Sun Java System Web Server est installé sous Windows, un attaquant peut donc employer une requête spéciale afin de lire le code source des pages JSP. |
Partagez ce bulletin
Bulletin Vigil@nce complet
Caractéristiques
Titre : Sun Web Server : lecture de code JSP.
Mots clés : ADS Alternate Data HTML JSP Java NTFS Pages Server Streams Sun System Web Windows code lecture.
Références : 266429, 6860680, BID-35577, CVE-2009-2445, VIGILANCE-VUL-8840.
|
Sources d'information
Solutions pour cette vulnérabilité
Compléments
Service de veille sur les vulnérabilités informatiques
Vigil@nce fournit des alertes de vulnérabilités applicatives. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information.
|
