Vigil@nce : Sun Java Web Server, déni de service de l’interface d’administration
juillet 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsqu’un attaquant est autorisé à se connecter sur le port de
l’interface d’administration web de Sun Java Web Server, il peut
envoyer une requête HTTP illicite afin de stopper le service.
– Gravité : 1/4
– Date création : 06/07/2010
DESCRIPTION DE LA VULNÉRABILITÉ
L’interface d’administration web de Sun Java Web Server écoute par
défaut sur les ports 8800/tcp (HTTP) et 8989/tcp (HTTP+SSL).
Une requête HTTP est de la forme :
GET / HTTP/1.0
Entêtes
Cependant, si la requête contient simplement la ligne "\n", le
service d’administration web se stoppe.
Lorsqu’un attaquant est autorisé à se connecter sur le port de
l’interface d’administration web de Sun Java Web Server, il peut
donc envoyer une requête HTTP illicite afin de stopper le service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET