Hace apenas dos días nos hacíamos eco de un grave problema de
seguridad en la implementación Java de Netscape, que permitía instalar
un applet que actúa de servidor web al compartir archivos locales de
los clientes. Un agujero de seguridad en el propio applet que sirve
como demostración, y que permite a priori restringir el directorio a
compartir, deja al descubierto toda la información del disco duro de
los usuarios.
El problema parte de la posibilidad de ir subiendo niveles de
directorios si se pasa el parámetro «\..» en la URL. De esta forma es
posible recorrer todo el disco duro de los usuarios que estén
probando «BOHTTPD» y descargar cualquier fichero, lo que incluye
archivos de contraseñas e información sensible. Esta labor se
facilita gracias a un apartado de la web, «BOHTTPD Spy», donde se
mantiene una lista actualizada de las direcciones de los usuarios
que están probando el applet.
Por ejemplo, si alguien aparece en el listado de la página de
demostración de la siguiente forma:
http://direcciónIP:8080/c:/WINNT/MP3
En teoría, el usuario está compartiendo sólo el contenido de la
carpeta MP3. Sin embargo, si se utiliza la siguiente URL:
(En Netscape)
http://direcciónIP:8080/c:/WINNT/MP3/\../\../
(En IExplorer)
http://direcciónIP:8080/c:/WINNT/MP3/%5C../%5C../
Conseguiremos subir dos niveles de directorios, y aparecerá en
nuestro navegador todo el contenido del disco duro del usuario,
con la posibilidad de navegar entre los distintos directorios
y descargar cualquier fichero. Se recomienda, claro está, no
hacer uso de la demostración, así como desactivar el soporte
Java en los navegadores de Netscape hasta que se desarrolle el
parche correspondiente, que afecta a las versiones 4.x de
Communicator tanto en plataformas Windows como Linux.
Opina sobre esta noticia
Más información:
«Web-Troyano» gracias a los navegadores de Netscape
http://www.hispasec.com/unaaldia.asp?id=646
BOHTTPD Spy
http://www.brumleve.com/BrownOrifice/BOHTTPD_spy.cgi
Brown Orifice HTTPD Homepage
http://www.brumleve.com/BrownOrifice/
bernardo@hispasec.com
Deja una respuesta