Recientemente se ha descubierto una vulnerabilidad en el servidor de
imágenes ADA (ImgSvr), por la que un atacante podría acceder a
visualizar los contenidos de los directorios del servidor.

El problema viene dado por una falta de análisis en las peticiones
HTTP, lo que da como resultado la visualización por parte del
atacante de los directorios y subdirectorios del servidor. El servicio
vulnerable corre por defecto el puerto 1234/tcp. La vulnerabilidad
ha sido comprobada en el momento de la redacción de esta noticia en la
versión 0.4 para Windows, no obstante otras versiones podrían verse
afectadas por este problema de seguridad.

ImgSvr es un servidor web que permite a múltiples usuarios la
visualización y el compartir imágenes entre ellos. El proyecto ImgSvr
es sólo una parte de un proyecto denominado «Ada Internet Projects»
Actualmente este proyecto está formado por 10 componentes.

Ejemplo:
http://[victim]:1234/%00/
o
http://[host]:1234/someDirectory/%00/

Antonio Román
roman@hispasec.com

Más información:

the Ada Internet Projects:
http://www.adaworld.com/internetmain.html

Bugtraq: Index viewing in imgSvr 0.4
http://seclists.org/lists/bugtraq/2004/Apr/0010.html

Compártelo: