Oracle GlassFish Enterprise Server: Salto de restricciones

Oracle GlassFish Server presenta un fallo de autenticación en su Consola de Administración que permitiría a un atacante remoto acceder mediante peticiones TRACE.

Oracle GlassFish Server es uno de los motores J2EE libres más importantes y, junto a JBOSS, de los más extendidos y utilizados por la comunidad.

El fallo permitiría que un atacante sin autenticar consiguiera el acceso a ciertas secciones restringidas de la consola.

Por defecto el servidor GlassFish tiene activado el modo HTTP TRACE. Si un atacante enviara al puerto de escucha TCP 4848 una petición de recurso mediante el método TRACE, recibiría en el cuerpo de la respuesta el propio recurso solicitado, como si hubiera hecho una petición GET al mismo.

De esta forma tendría acceso al visor de sucesos, información sobre la versión JVM y componentes instalados, e incluso a las configuraciones de las conexiones JDBC y contraseña de la base de datos.

El CVE asignado a esta vulnerabilidad es el CVE-2011-1511.

Para solucionar dicha vulnerabilidad los usuarios de la rama 3.x deben actualizarse a la versión 3.1 y para julio de 2011 estará libre la concerniente a la rama 2.x.

Se recomienda además, si no es necesario, desactivar el modo TRACE desde la consola de administración: "Network Config, Protocols, admin-listener, HTTP" y desactivar la casilla: "Trace: Enable TRACE operation"

GlassFish Server Open Source Edition - 3.1 Final

http://glassfish.java.net/downloads/3.1-final.html

Oracle GlassFish Server Administration Console Authentication Bypass
http://www.coresecurity.com/content/oracle-glassfish-server-administration-console-authentication-bypass

Fuente: Hispasec