miércoles, 28 de noviembre de 2001

Actualización para problema con las sesiones de JRun

La administración de sesiones de JRun tiene un defecto que permite que
los usuarios puedan tener sesiones duplicadas en determinadas
circunstancias, esto puede llegar a comprometer la seguridad de las
sesiones.
Allaire JRun es una suite de desarrollo de aplicaciones basadas en
páginas JSP y Servlets en Java. Se ha descubierto un problema por el
cual diversos usuarios pueden tener el mismo identificador de sesión con
los consiguientes problemas de seguridad que ello puede provocar.

Este problema se reproduce en JRun 3.0 y JRun 3.1 bajo todas las
plataformas en cualquier servidor web. Si una aplicación se llama
"noticias", entonces el acceso al documento por defecto con una llamada
de la siguiente forma: http://nombre_maquina/noticias
(sin la barra /) podrá provocar que el usuario obtenga un id de sesión
que ya se encuentre activo, en vez de una nueva sesión.

Macromedia recomienda a los usuarios que descarguen el parche
correspondiente a la versión que ejecuten.

Para JRun 3.1
http://download1.allaire.com/publicdl/en/jrun/30/JRun30_HF_24049.jar
Para JRun 3.0
http://download.allaire.com/publicdl/en/jrun/31/JRun31_HF_24049.jar



Antonio Ropero
antonior@hispasec.com


Más información:

Macromedia Product Security Bulletin (MPSB01-10)
JRun 3.1, JRun 3.0: Hotfix Available for JRun Server Duplicate Session
ID Security Issue
http://www.allaire.com/handlers/index.cfm?ID=22234&Method=Full



No hay comentarios:

Publicar un comentario