Vulnerability Bulletins |
Colisión de tokens en Macromedia JRun 4.0 |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Experto |
| Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
| Property | Value |
| Affected manufacturer | Comercial Software |
| Affected software |
ColdFusion MX 7.0 Enterprise Multi-Server Edition ColdFusion MX 6.1 Enterprise & JRun JRun 4.0 |
Description |
|
|
Se ha descubierto una vulnerabilidad en la versión 4.0 del servidor JRun de Macromedia. La vulnerabilidad reside en el algoritmo de generación de tokens de autenticación. Bajo cargas muy altas de trabajo JRun puede generar dos sesiones con el mismo token de autenticación. Ésto puede provocar que dos usuarios autenticados estén compartiendo la información de la sesión. Hay que destacar que un atacante no puede provocar esta situación, que se da en situaciones excepcionales. |
|
Solution |
|
|
Actualización de software Macromedia JRun 4.0 - Parche http://download.macromedia.com/pub/security/mpsb05-05.zip |
|
Standar resources |
|
| Property | Value |
| CVE | CAN-2005-2306 |
| BID | |
Other resources |
|
|
Macromedia Security Bulletin MPSB05-05 http://www.macromedia.com/devnet/security/security_zone/mpsb05-05.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2005-07-15 |
| 1.1 | CAN añadido | 2005-08-05 |