Oracle GlassFish Server Administrative Console Authentication Bypass

Descripción.
En esta vulnerabilidad de desviación de la autenticación en la consola de administración de Oracle GlassFish. La vulnerabilidad se debe a un error al procesar las peticiones HTTP TRACE. Un atacante remoto puede explotar esta vulnerabilidad enviando una solicitud TRACE al objetivo. Una explotación exitosa podría permitir a un atacante acceder a información restringida.

CVE: CVE-2011-1511
Factor de Riesgo: Critica
Valor CVSS Base: 10

Solución.

Actualice al servidor GlassFish 3.1, también puede deshabilitar el TRACE. El Trace puede ser habilitado a nivel de sesión o a nivel de instancia.

Deshabilitar Trace en Listener

LSNRCTL> set trc_level 0
Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=IPC)(KEY=EXTPROC1)))
LISTENER parameter "trc_level" set to off
The command completed successfully

Referencia 1
Referencia 2

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like