Hi ha una vulnerabilitat, present a les versions per a Windows de diversos servidors d'aplicacions i contenidors de servlets J2EE, que permet l'accés als fitxers existents dins el directori WEB-INF.

Els sistemes vulnerables són:

• EA Server (Sybase), versió 4.0
• OC4J (Oracle)
• Orion, versió 1.5.3
• JRun (Macromedia), versions 3.0, 3.1 i 4.0
• HPAS (Hewlett Packard), versió 3.0
• Pramati, versió 3.0
• Jo!

Una aplicació web ("web app") és una col·lecció de servlets, JSP ("Java Server Pages"), documents HTML, imatges i d'altres fitxers empaquetats d'una forma que permet una ràpida instal·lació a qualsevol servidor web que doni suport a servlets.

Aquestes aplicacions habitualment estan empaquetats dins de fitxers .WAV, amb una estructurar estàndard similar a la següent:

index.html
algunacosa.jsp
images/on.gif
images/off.gif
WEB-INF/web.xml
WEB-INF/lib/algunacosa.jar
WEB-INF/classes/MyServlet.class
WEB-INF/classes/com/emp/etc/servlet/Servlet.class
...

Aquesta estructura facilita la portabilitat de les aplicacions entre diferents servidors. El directori 'WEB-INF' és especial: qualsevol cosa present al seu interior no ha ser visible als clients web ja que hi ha la classe Java i la informació de configuració de l'aplicació web. Per tant, qualsevol intent d'accés al directori habitualment resulta en un codi d'error HTTP 404 (no es troba) o 403 (accés no permès).

El fitxer WEB.XML situat dins d'aquest directori 'WEB-INF', al que habitualment s'anomena com el 'descriptor per al desplegament', conté informació detallada sobre l'aplicació web: mapeigs d'URL, detalls del registre del servlet, tipus MIME, restriccions de seguretat a nivell de pàgina... etcètera.

Hi ha una vulnerabilitat als servidors d'aplicacions i contenidors de servlets indicats anteriorment que pot permetre a un atacant accedir a la informació existent dins el directori 'WEB-INF'. Consisteix, senzillament, en afegir un punt (".") a continuació del nom del directori:

http://www.servidor.com/WEB-INF./web.xml
http://www.servidor.com/WEB-INF./classes/Servlet.class

Aquesta vulnerabilitat és fruit de la combinació d'un error al filtrar de la URL que fan els servidors d'aplicacions amb una característica del sistema de fitxers de Windows: s'ignora el punt final a qualsevol via d'accés o nom de fitxer.

Els diversos fabricants afectats per la vulnerabilitat han publicat els pegats o les versions actualitzades.

• EA Server de Sybase
  Actualització a la versió 4.1
  
  
• OC4J d'Oracle
  Actualització a la versió 9.0.2 d'OC4J/9iAS, que està disponible a http://otn.oracle.com/software/products/ias/devuse.html
  
  
• Orion Server
  Actualització a la versió 1.5.4
  
  
• JRun 3.0, 3.1 i 4.0
  Pegat disponible a
  http://www.macromedia.com/v1/handlers/index.cfm?ID=23164
  
  
• HPAS
  Solucionat al paquet de manteniment 8
  
  
• Pramati
  Solucionat al Service Pack 1
  
  
• Jo!
  Actualització a la versió 1.0b7

Més informació

Sybase - EA Server
http://www.sybase.com/products/applicationservers/easerver/

Oracle - OC4J
http://otn.oracle.com/software/products/ias/devuse.html

Orion Server
http://www.orionserver.com

HPAS - Hewlett Packerd
http://www.hpmiddleware.com/SaISAPI.dll/SaServletEngine.class/
products/hp-as/default.jsp

Pramati
http://www.pramati.com

Jo!
http://sourceforge.net/projects/tagtraum-jo

Xavier Caballé
xcaballe@quands.com