Desbordamiento de búfer en servidor web de Macromedia JRun 4

Se ha anunciado la presencia de una vulnerabilidad en el servidor web de Macromedia JRun 4 que puede ser explotada por usuarios remotos maliciosos para provocar denegaciones de servicio o ejecutar código arbitrario en máquinas afectadas.

Macromedia JRun 4 es un servidor de aplicaciones utilizado para el desarrollo y despliegue de aplicaciones basadas en la plataforma Java.

La vulnerabilidad está localizada en el servidor web de JRun, y puede aparecer concretamente a la hora de tratar cadenas de peticiones de gran longitud. Con ciertas configuraciones de la plataforma, cuando ésta recibe una URL muy larga (de aproximadamente 64.000 caracteres), puede provocarse un desbordamiento de búfer que, además de ser aprovechable para crear una condición de denegación de servicio, potencialmente puede ser explotado por un atacante para ejecutar código arbitrario en la máquina afectada.

Para que la vulnerabilidad pueda explotarse, dicho servidor web debe estar activo, algo que no es recomendable en sistemas orientados a producción y que sólo debería usarse en entornos de desarrollo.

Adobe ha confirmado que la vulnerabilidad afecta al servidor web de JRun 4 en versiones anteriores a JRun 4 Updater 5, actualización publicada en marzo de este mismo año, por lo que si no se ha aplicado dicha actualización, se recomienda hacerlo ahora de forma urgente.