欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

JBoss企业应用平台多个非授权访问漏洞

程序员文章站 2022-03-19 11:29:13
影响版本:RedHat JBoss EAP 4.3RedHat JBoss EAP 4.2漏洞描述: JBoss企业应用平台(EAP)是J2EE应用的中间件平台。 JBoss企业应用平台中...

影响版本:
RedHat JBoss EAP 4.3
RedHat JBoss EAP 4.2
漏洞描述:


JBoss企业应用平台(EAP)是J2EE应用的中间件平台。

JBoss企业应用平台中存在多个非授权访问漏洞,远程用户可以绕过认证执行非授权操作或读取敏感信息。

1) JMX控制台配置仅对使用GET和POST HTTP命令的请求指定了认证要求,远程攻击者可以创建没有指定GET或POST的HTTP请求,导致无需认证便被默认的GET处理器执行。

2) 默认阻断了对JBoss应用服务器Web控制台(/web-console)的非认证访问,但这种阻断并不彻底,仅阻断了GET和POST HTTP命令。远程攻击者可以利用这个漏洞访问敏感信息。

3) RHSA-2008:0828更新修复了未经认证用户可访问状态servlet的漏洞(CVE-2008-3273);但RHSA-2009:0349中的bug修复重新引入了这个漏洞。远程攻击者可以利用这个漏洞获得有关所部署的web上下文的详细信息。<*参考
http://secunia.com/advisories/39563/
https://www.redhat.com/support/errata/RHSA-2010-0379.html
https://www.redhat.com/support/errata/RHSA-2010-0377.html
https://www.redhat.com/support/errata/RHSA-2010-0376.html
https://www.redhat.com/support/errata/RHSA-2010-0378.html
*>
安全建议:
厂商补丁:

RedHat
------
RedHat已经为此发布了一个安全公告(RHSA-2010:0376-01)以及相应补丁:
RHSA-2010:0376-01:Critical: JBoss Enterprise Application Platform 4.2.0.CP09 update
链接:https://www.redhat.com/support/errata/RHSA-2010-0376.html