Desbordamiento de búfer en JRun


Las versiones para Win32 de JRun 3.0 y 3.1 contienen una vulnerabilidad
de desbordamiento de búfer explotable de forma remota que permitirá a un
atacante conseguir el control total del servidor.




Macromedia JRun es un servidor J2EE diseñado para ejecutarse en
servidores web para das soporte aplicaciones basadas en páginas JSP y
Servlets en Java. Cuando se instala JRun se crea una aplicación o filtro
ISAPI en el directorio virtual /scripts. Si llega una petición al
servidor para un recurso .jsp el filtro realiza el tratamiento de la
petición.

Además, si a la DLL ISAPI se accede de forma directa esta actúa como
aplicación. Al realizar una petición a la DLL con el campo de cabecera
Host muy largo se producirá el desbordamiento de búfer. Si el atacante
logra explotarlo adecuadamente el código malicioso se ejecutará con los
permisos del sistema.

Macromedia ha publicado los parches necesarios para corregir el
problema, que pueden descargarse desde las siguientes direcciones:
Para JRun 3.1:
http://download.allaire.com/publicdl/en/jrun/31/jrun-31-win-upgrade-us_26414.exe

Para JRun 3.0:
http://download.allaire.com/publicdl/en/jrun/30/jr30sp2_25232.exe



Otras noticias de interés:

Vulnerabilidades para los routers Belkin N150
Se han publicado dos vulnerabilidades para los routers Belkin N150 Wireless Router y Netgear Wireless Extreme (WNDRMAC) N600 que podrían ser utilizadas para revelar información sensible....
Microsoft publica seis boletines, cinco críticos
Microsoft publicó en la ronda de boletines correspondiente a noviembre, 6 boletines de seguridad, los que cubren 13 vulnerabilidades, la mayoría críticas, que afectan a Microsoft Windows y al Internet Explorer. El boletín más importante, es el q...
Ataque a Windows que desactiva el firewall
Aunque con la generalización en el uso de routers, especialmente inalámbricos, esta noticia no debería afectar a mucha gente siempre es interesante comprobar que no vayamos a tener algún problema. Un fallo de seguridad en el servicio ICS (Interne...
Systemic el buscador de planetas
Ya podemos buscar planetas extrasolares desde casa, al estilo de SETI@home, accediendo a una base de datos de 100.000 estrellas, mediante una cómoda consola de Java....
Día de la Libertad del Documento 2009
Por segundo año consecutivo se celebra en el día de la fecha el Día de la Libertad del Documento....
Facebook quiere incluir publicidad en el muro
Facebook sigue dando pasos cada vez más rápidos, con los que conseguir mayores ingresos a través de publicidad. Ahora, la red social prevé publicar actualizaciones publicitarias en los muros de los usuarios, aunque estos no le hayan dado al 'me g...
Contraseña: "ManchesterUnited"
El banco británico Egg ha descubierto que una tercera parte de los usuarios del sistema en línea del banco usa los nombres de sus hijos como contraseñas. Otros usan el nombre de su equipo de fútbol favorito y Manchester United es la contraseña m...
0-day Adobe Flash Player/Reader, una vez más
Según con los datos iniciales mostrados por algunos investigadores de seguridad, una nueva vulnerabilidad Zero-day ha sido encontrada en Adobe Flash Player y podría estar siendo explotada actualmente a través de Internet, infectando a los usuarios...
8 oscuros secretos de la Industria de Seguridad de TI
El principal estratega de seguridad de la división de IBM ISS (Internet Security Systems) nos habla en un podcast sobre el lado oscuro de la industria de la seguridad....
Piratas "Hackers" rusos fueron los responsables del apagón de Internet.
Los sitios Web de Google, Yahoo, Microsoft y otros, estuvieron fuera de línea debido a un ataque distribuido de negación de servicio (DDoS por sus siglas en inglés), que duró dos horas hasta que estas compañ&iac...

Brindanos
un o una


Redes Sociales

Publicidad

Virtualización de Servicios y Redes

Categorías


Planeta Vaslibre

Blog Roll


Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bufer
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • desbordamiento
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • jrun
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra