<mad_penguin> 'tin
<mad_penguin> chuis un bouley
<mad_penguin> j'ai voulu chercher les paroles d'une chanson sur google alors que j'ai qu'a tendre le bras pour récupérer le livret du cd...
-- http://www.bashfr.org/?1900
  • RockXPRockXP
  • Mes créationsCréation
  • Contact et CVContact < CV
  • Offrez moi un caféOffrez moi un café
  • Proposer une infoProposer une info
  • Navigation hasardeuseAu hasard !

Enorme faille de sécurité dans le protocole JAR. Les applications web 2.0 sont touchées !

Par Korben le 7 novembre 2007

Un hacker de chez GnuCitizen vient de trouver une énorme faille de sécurité dans le protocole JAR. Quand je parle de protocole, je veux dire que JAR permet d’accèder à des fichiers dans un fichier compressé. (Zip… ou autre, vous verrez après)Pour accèder à ce fichier, il suffit d’appliquer la syntaxe suivante :

 

jar:[url vers l'archive]![chemin vers le fichier]

La première partie pointe vers l’url ou se trouve le fichier archive et le paramètre “chemin vers le fichier” qui commence le plus souvent par un / .

Par exemple, si dans l’archive, nous avons un repertoire Pictures dans lequel il y a une image a.jpg, on aura quelquechose comme ça

jar:https://domain.com/path/to/jar.jar!/Pictures/a.jpg

Voilà pour l’intro… Vous l’aurez compris, le fichier a.jpg s’ouvrira avec comme chemin celui de l’archive… donc un truc comme ça

https://domain.com/path/to/a.jpg

Alors, quel est le problème ? Le problème c’est que n’importe quelle application web (même les plus grosses) qui autorise l’upload de fichiers JAR/ZIP est potentiellement vulnérable à un Cross Scripting permanent. Tout le monde est vulnérable… Des web mails, aux systèmes d’upload de fichiers en passant par des outils de travail collaboratif… Bref, pas mal de trucs web 2.0. (Google et Microsoft sont par exemple faillibles)

Là ou ça devient marrant, c’est que si vous prenez un format de fichier OpenOffice (odt) ou le format Open Document de Microsoft, on se rends compte qu’eux aussi sont basé sur la norme ZIP. Il suffit donc de créer un document avec Word avec de format ouvert, de le renommer avec l’extension Zip pour pouvoir l’ouvrir et en changer le contenu. C’est à dire qu’un attaquant pourrait inclure simplement une page HTML “démoniaque” à l’intérieur. Ensuite, il lui suffit de redonner la bonne extension au fichier (.doc ou .odt) et de l’envoyer sur le site de sa victime via n’importe quel formulaire.

L’attaquant n’aura alors plus qu’à appeler son fichier directement avec le protocole JAR pour lancer sa page HTML.

Un autre intérêt peut être aussi de passer outre les antivirus en utilisant une extension non reconnue par ces derniers, et il est aussi possible d’encapsuler les jars entre eux, ou d’y placer d’autres type de protocoles data: pour échapper aux radars…

Vous l’aurez compris, c’est une faille très très grâve qui touche tout le monde ! Le seul moyen de se protéger, c’est de véritablement vérifier le contenu de ce qu’upload vos utilisateurs, mais parfois, cela est impossible surtout avec des formats comme les .odt ou .doc. Vous devez donc les renommer, les ouvrir, verifier leur contenu. Tout ceci est évidement temporaire le temps que les sociétés d’antivirus et d’IDS se mettent à la page… Je pense quand même qu’ils ont un peu de boulot !

Toutes les infos sont ici

Je vous recommande aussi la lecture des sujets suivants

  • Une icône personnalisée pour votre site sur l’iPhone et l’iPod Touch
  • Télécharger n’importe quel contenu sur les sites de diffusions de vidéos et MP3
  • Renommer ou supprimer un fichier système sous Vista
  • La Freebox HD supporte enfin le format MKV
  • Faites votre Sitemap en 1 clic !

Faites un lien vers cette news sur votre site



5 Commentaire(s)

  1. MyAvatars 0.2

    shadeone Reply to this comment

    Les JAR sont pas dangereux en eux même, apparement, c’est un peu la logistique de guerre. Ils ne tuent personne directement, mais permettent le camouflage, le transport et la livraison facile de troupes de choc à l’intérieur du territoire ennemi ;)

    Posté le 7 novembre 2007 à 09:30:02

  2. MyAvatars 0.2

    admin Reply to this comment

    Exact Shadeone :-) La comparaison est très bonne mais faut arrêter de regarder des films de guerre ;-)

    Posté le 7 novembre 2007 à 09:57:53

  3. MyAvatars 0.2

    Kyro (infomars.fr) Reply to this comment

    les themes Firefox sont en jar ….

    Posté le 7 novembre 2007 à 10:03:34

  4. MyAvatars 0.2

    tsukasa Reply to this comment

    hehehe, je sent que sa doit etre la panique dans les grosses entreprises :P

    Posté le 7 novembre 2007 à 12:56:11

  5. MyAvatars 0.2

    Amadeus Reply to this comment

    Et pas que chez les grandes, n’importe quel script-kiddy(-wannabe) pourrait s’amuser avec n’importe qui… d’autant plus que la révelation d’une faille de sécurité s’accompagne souvent d’un exemple concret, facile à extrapoler pour quelqu’un disposant de suffisament de connaissances en la matière… du moins je pense :D

    Posté le 8 novembre 2007 à 07:09:39

1 Trackback(s)

  1. 8 novembre 2007 à 19:59:46: de &NonBreakingSPace; » Blog Archive » Enorme faille de sécurité dans le protocole JA

Lacher un com'

Vous pouvez aussi ajouter un commentaire vidéo (hé ouais !!!)
« Retour aux commentaires classiques (texte)

  • Immersion totale


    Resultats

  • Commentaires

    • kalahaine kalahaine : Ouf, heureusement que Kane est passé par là pour troller un peu sinon le débat aurait pu être...
    • To To : @Vicnent: à la décharge de la source de Korben, la source originale est bien citée...
    • julien julien : Microsoft n’a jamais rachete novell ils ont des partenariat c’est tout … et a mon...
    • Korben Korben : @ciloubidouille: non
    • Korben Korben : @elazard: Non, je ne joue pas à Wow :-) c’est un clone, t’as le droit de le buter...
  • Sponsors

  • Partenaires

    • Geoffrey Dorne
    • Hodiho
    • Jonathan Moreau
    • NoKenny
    • Pingoo
    • Trois grammes cinq
    • Tux Planet
    • Vincent Abry
  • Flash info !

    Votre nom :

    Votre message :


    Il vous reste 136 caractères

  • Bidules

  • Auto promo

Powered by Technorati feed

Creative Commons License