登录  免费注册
当前位置:首页 > 安全公告 > 正文

关于GlassFish服务器存在任意文件读取漏洞的安全公告

2016-01-15 17:24:02
安全公告编号:CNTA-2016-0003

近日,国家信息安全漏洞共享平台(CNVD)收录了GlassFish存在任意文件读取漏洞(CNVD-2016-00232)。攻击者利用漏洞访问网站链接可获得非授权访问的目录文件列表,如:可读取web应用配置文件等,进一步渗透构成网站信息泄露和运行风险。

一、漏洞情况分析

GlassFish是一款基于JavaEE5的商业兼容应用服务器软件,可用于Web容器及相关应用的开发、部署和分发。由于其在实现unicode编码上存在缺陷,导致同一代码的多重解析,如:java把"%c0%ae"解析为"\uC0AE",最后转义为ASCCII字符"."。攻击者利用漏洞构造目录穿越回溯,获得操作系统主机上的目录文件列表。对于熟悉操作系统和Web容器架构的攻击者,构成进一步渗透网站系统的先决条件。CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响GlassFish 4.0 -4.1版本。根据CNVD初步普查的结果,互联网上约有2.36万台GlassFish服务器暴露在互联网上,其中中国大陆地区为1184台,占比约为5.0%,其他GlassFish服务器应用较多的国家和地区分别有美国 (占比38.4%)、巴西(占比6.9%)、德国 (占比6.3%)、法国(占比3.2%)、英国(占比2.8%)、俄罗斯(2.7%)、加拿大(占比2.6%)。总体上看,该漏洞对北美、欧盟以及东亚等地区的影响较为严重。

三、漏洞修复建议

2015年10月,厂商发布了4.1.1版本修复该漏洞,目前该漏洞的攻击利用代码已经在互联网上传播, CNVD提醒系统运维人员及时到厂商主页更新下载,避免引发漏洞相关的网络安全事件。https://glassfish.java.net/

附:参考链接:

http://www.wooyun.org/bugs/wooyun-2015-0144595

http://www.cnvd.org.cn/flaw/show/CNVD-2016-00232

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论