Boletines de Vulnerabilidades |
Colisión de tokens en Macromedia JRun 4.0 |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricant afectat | Comercial Software |
| Software afectado |
ColdFusion MX 7.0 Enterprise Multi-Server Edition ColdFusion MX 6.1 Enterprise & JRun JRun 4.0 |
Descripción |
|
|
Se ha descubierto una vulnerabilidad en la versión 4.0 del servidor JRun de Macromedia. La vulnerabilidad reside en el algoritmo de generación de tokens de autenticación. Bajo cargas muy altas de trabajo JRun puede generar dos sesiones con el mismo token de autenticación. Ésto puede provocar que dos usuarios autenticados estén compartiendo la información de la sesión. Hay que destacar que un atacante no puede provocar esta situación, que se da en situaciones excepcionales. |
|
Solución |
|
|
Actualización de software Macromedia JRun 4.0 - Parche http://download.macromedia.com/pub/security/mpsb05-05.zip |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CAN-2005-2306 |
| BID | |
Recursos adicionales |
|
|
Macromedia Security Bulletin MPSB05-05 http://www.macromedia.com/devnet/security/security_zone/mpsb05-05.html |
|
Histórico de versiones |
||
| Versión | Comentario | Data |
| 1.0 | Aviso emitido | 2005-07-15 |
| 1.1 | CAN añadido | 2005-08-05 |