影响版本:
RedHat JBoss EAP 4.3
RedHat JBoss EAP 4.2
漏洞描述:
JBoss企业应用平台(EAP)是J2EE应用的中间件平台。
JBoss企业应用平台中存在多个非授权访问漏洞,远程用户可以绕过认证执行非授权操作或读取敏感信息。
1) JMX控制台配置仅对使用GET和POST HTTP命令的请求指定了认证要求,远程攻击者可以创建没有指定GET或POST的HTTP请求,导致无需认证便被默认的GET处理器执行。
2) 默认阻断了对JBoss应用服务器Web控制台(/web-console)的非认证访问,但这种阻断并不彻底,仅阻断了GET和POST HTTP命令。远程攻击者可以利用这个漏洞访问敏感信息。
3) RHSA-2008:0828更新修复了未经认证用户可访问状态servlet的漏洞(CVE-2008-3273);但RHSA-2009:0349中的bug修复重新引入了这个漏洞。远程攻击者可以利用这个漏洞获得有关所部署的web上下文的详细信息。<*参考
https://secunia.com/advisories/39563/
https://www.redhat.com/support/errata/RHSA-2010-0379.html
https://www.redhat.com/support/errata/RHSA-2010-0377.html
https://www.redhat.com/support/errata/RHSA-2010-0376.html
https://www.redhat.com/support/errata/RHSA-2010-0378.html
*>
安全建议:
厂商补丁:
RedHat
——
RedHat已经为此发布了一个安全公告(RHSA-2010:0376-01)以及相应补丁:
RHSA-2010:0376-01:Critical: JBoss Enterprise Application Platform 4.2.0.CP09 update
链接:html”>https://www.redhat.com/support/errata/RHSA-2010-0376.html
—-想了解更多的企业安全相关处理怎么解决关注<计算机技术网(www.ctvol.com)!!>
本文来自网络收集,不代表计算机技术网立场,如涉及侵权请联系管理员删除。
ctvol管理联系方式QQ:251552304
本文章地址:https://www.ctvol.com/webstt/esecurity/100969.html