Хакер #305. Многошаговые SQL-инъекции
Программа: JBoss Java Server 3.2.1
Уязвимость обнаружена в JBoss Java server. Удаленный пользователь может выполнить произвольные команды на целевой системе.
Удаленный пользователь может подключиться к целевой
системе на 1701 tcp порту и послать специально сформированное SQL выражение, чтобы выполнить произвольный код с привилегиями процесса Jboss. Удаленный пользователь может также вызвать отказ в обслуживании, внедряя сообщения в файл регистрации и получая информацию из целевой системы.
Основная проблема расположена в hsqldb службе. Если не были изменены имя пользователя и пароль по умолчанию, то удаленный пользователь может получить доступ к службе и эксплуатировать различные программные ошибки в sun.* классах и различные логические ошибки в org.apache.* классах, чтобы атаковать целевую систему.