Es verwundert einen immer wieder wie viele Sicherheits Lücken im Reports Umfeld vorhanden sind. Ich habe aus diesem Grunde einmal versucht ein Paar Hinweise zu hinterlegen wie man hier Abhilfe schaffen kann. Ich kann allerdings keine Gewähr für die Vollständigkeit und Richtigkeit übernehmen.
Jeder Reportserver kann über den Aufruf /reports/ angesprochen werden. Es besteht hier die Möglichkeit sich Informationen über die gedruckten Reports zu holen. Als Beispiel könnte man /report/rwservlet/showjobs nutzen. Bei einem ungesichertem Server werden einem nun alle erstellten Reports angezeigt.
Einfach Abhilfe kann hier der Parameter diagnostic=false in der reports.properties genutzt werden.
Leider verursacht dieser Parameter einen kleinen Nebeneffekt. Es ist nun auch nicht mehr möglich die Funktion /getjobid zu nutzen, da auch diese ausgeschaltet wird. Alle Anwendungen die sich die Dokumente mit getjobid anzeigen lassen müssen leider umgeschrieben werden.
Diskussionen
Es gibt noch keine Kommentare.