漏洞信息详情
JBoss Enterprise Application Platform 权限许可和访问控制漏洞
- CNNVD编号:CNNVD-201210-410
- 危害等级: 低危
- CVE编号: CVE-2012-3427
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2012-10-19
- 威胁类型: 本地
- 更新时间: 2014-02-08
- 厂 商: redhat
- 漏洞来源:
漏洞简介
Red Hat JBoss Enterprise Application Platform(EAP)是美国红帽(Red Hat)公司的一套开源、基于J2EE的中间件平台。该平台主要用于构建、部署和托管Java应用程序与服务。
JBoss EAP 5.1.2版本中的EC2 Amazon Machine Image (AMI)中存在安全漏洞,该漏洞源于程序对/var/cache/jboss-ec2-eap/目录使用不安全的全局可读权限。本地攻击者可通过读取目录下的文件利用该漏洞读取敏感信息如Amazon Web Services (AWS)证书。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://rhn.redhat.com/errata/RHSA-2012-1376.HTML
参考网址
来源: XF
名称: jbosseap-info-disc(79398)
链接:http://xforce.iss.net/xforce/xfdb/79398
来源: BID
名称: 55945
链接:http://www.securityfocus.com/bid/55945
来源: OSVDB
名称: 86409
链接:http://www.osvdb.org/86409
来源: SECUNIA
名称: 51016
链接:http://secunia.com/advisories/51016
来源: REDHAT
名称: RHSA-2012:1376
链接:http://rhn.redhat.com/errata/RHSA-2012-1376.HTML
受影响实体
- Redhat Jboss_enterprise_application_platform:5.1.2
补丁
- jboss-ec2-eap-5.1.2-8.11.ep5.el6.src
- jboss-ec2-eap-5.1.2-8.11.ep5.el6.noarch
评论