Vous êtes sur le site public du Cert-IST
Vulnérabilités dues aux exemples fournis avec les serveurs Web

Date :27 Juillet 2005

Publication: Article

Vulnérabilités dues aux exemples fournis avec les serveurs Web

 
Les fichiers d’exemple fournis avec les serveurs Web sont une source de vulnérabilité comme nous l'avons rapporté par le passé (cf par exemple l'avis CERT-IST/AV-2000.035). Il est recommandé d’une manière générale de les supprimer de l’arborescence du serveur.

  • Une nouvelle vulnérabilité de ce type a été découverte dans le module Apache::ASP, en version 1.95, dont le rôle est d’implémenter la gestion des Active Server Pages sur Apache.

La vulnérabilité, présente dans le script d’exemple ./site/eg/source.asp, permet d’écrire dans le répertoire contenant ce script.
 
Supprimer le fichier d’exemple permet d’éliminer la vulnérabilité.
Pour obtenir une version corrigée de Apache::ASP et du script incriminé :
http://www.nodeworks.com/asp/
 

  • Une autre vulnérabilité de ce type a été découverte dans Java Web Server de Sun.

Ici, le fichier vulnérable est l’exemple permettant de gérer un forum de discussion.
La présence de ce fichier peut permettre d’exécuter du code arbitraire à distance.
 
Supprimer le fichier d’exemple permet d’éliminer la vulnérabilité.
Pour plus d’informations, se référer à l’URL :
http://www.sun.com/software/jwebserver/faq/jwsca-2000-02.html