Vigil@nce - Oracle GlassFish Server : contournement de l’authentification via la console d’administration
mai 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant distant peut contourner l’authentification de la
console d’administration afin d’obtenir des données sensibles.
Gravité : 2/4
Date création : 12/05/2011
PRODUITS CONCERNÉS
– Oracle GlassFish Enterprise Server
DESCRIPTION DE LA VULNÉRABILITÉ
La console d’administration de Sun GlassFish Enterprise Server et
Oracle GlassFish Server écoute sur le port 4848/tcp.
Cependant, ce service ne valide pas correctement les requêtes HTTP
TRACE. La requête est alors traitée sans authentification.
Un attaquant distant peut donc contourner l’authentification de la
console d’administration afin d’obtenir des données sensibles.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET