Apache Tomcat 6.0.18 UTF8 Directory Traversal Vulnerability

Description As Apache Security Team, this problem occurs because of JAVA side. If your context.xml or server.xml allows 'allowLinking'and 'URIencoding' as 'UTF-8', an attacker can obtain your important system files.(e.g. /etc/passwd)

Exploit If your webroot directory has three depth(e.g /usr/local/wwwroot), An attacker can access arbitrary files as below. (Proof-of-concept) http://www.target.com/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/foo/bar

Apache Tomcat <= 6.0.18 UTF8 Directory Traversal Vulnerability.

Anche se questo mi sembra un tantinello più pericoloso IMHO!

Commenti

Posta un commento

Popular Posts

Real Cloud, Fake Cloud, e il Computer di Qualcun Altro: Sopravvivere alle Mostruosità del Mercato

Immagine
Introduzione: Ma Non Eravamo Tutti sull'AI? Parliamoci chiaro: nel 202X (o quando diavolo state leggendo), mettersi qui a disquisire sulle differenze basilari tra le varie offerte "cloud" ha un sapore quasi... vintage. L'universo tech è in pieno delirio da Intelligenza Artificiale, ogni startup sembra nascere con un .ai nel dominio e ogni conferenza è un tripudio di LLM, prompt pipe-engineer-dreaming (un po' pipeline, un po' sogno, un po' unicorno, sicuramente tutta fuffa) e reti neurali che promettono di risolvere pure il traffico sulla tangenziale. E noi? Noi siamo qui a chiederci se quella roba che ci vendono è davvero cloud (viva la consistenza). Sembra anacronistico? Forse . È inutile? Assolutamente no . Anzi, è proprio questo il punto.  Mentre tutti corrono come criceti impazziti sulla ruota dell'ultima buzzword, ci si dimentica (colpevolmente) delle fondamenta. E indovinate un po' dove girano la maggior parte di quegli algoritmi AI così affa...
Continua a leggere →

SaaS, Integrazioni e AI: JP Morgan Suona l'Allarme (E Conferma i Nostri Sospetti)

Immagine
Quando il Gigante Sputa il Rospo (Era Ora!) Nell'articolo precedente, ci siamo messi qui a distinguere il Real Cloud dalla fuffa cosmica, dal Fake Cloud e dal solito "computer di qualcun altro" con lo sticker sopra ? A me sembrava quasi un esercizio di stile utile a sgranchire le dita sulla tastiera e a mettere un punto fermo ai pensieri di ogni giorno, un lamento tra addetti ai lavori stanchi del marketing tossico. Bene, tenetevi forte, non sono il solo a pensarlo: il problema è molto più profondo, sistemico e pericoloso. E la notizia non è tanto il problema in sé, quanto chi l'ha appena messo nero su bianco con una lettera aperta che ha fatto allarme ma fa anche molto awareness sui "rischi correlati"; la mano che ha scritto questa lettera è di Patrick Opet, il Chief Information Security Officer di JPMorgan Chase (non propriamente un'IT Company). Si, questa JPMorgan Chase Non capita tutti i giorni che un CISO di quel calibro prenda carta e penna (virtua...
Continua a leggere →

Si può essere ancora “di sinistra”?

Immagine
Questa sera rileggevo uno sfogo fatto sui social in merito a tante situazioni vissute negli ultimi anni. Situazioni che hanno fatto emergere il profondo senso di inadeguatezza che provo cercando di immedesimarmi ed immergermi nella realtà che stiamo vivendo. Polarizzazioni, -ismi, schwa varie, slogan e sensi di appartenenza a “cose” che dalla sera alla mattina sembrano acquistare un’importanza capitale e che, anche solo 48h prima, erano praticamente ignorate dai più, mi fanno rivalutare il senso del concetto di evoluzione. La riporto integralmente, sotto, per tenere traccia di questa cosa all'interno del mio spazio. Perdonerete il linguaggio “poco aulico” ma si tratta di uno sfogo quindi tale è il linguaggio che lo rappresenta… ah! Alcuni elementi sono “smarcatamente” divisivi, pace! Cominciamo… :-) Si può essere di sinistra anche se non si ascoltano cantautori fracassa coglioni Si può essere di sinistra anche se il femminismo tossico che fraintende parità di genere e diritt...
Continua a leggere →