漏洞信息详情
Red Hat JBoss企业应用平台JMX控制台存在安全绕过漏洞
- CNNVD编号:CNNVD-201005-424
- 危害等级: 中危
- CVE编号: CVE-2010-0738
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2010-05-26
- 威胁类型: 远程
- 更新时间: 2010-05-27
- 厂 商: redhat
- 漏洞来源:
漏洞简介
JBoss Enterprise Application Platform WEB控制台(/web-console)缺少正确限制,攻击者提交没有指定GET或POST的HTTP请求绕过验证,访问系统。JBOSS在配置HTTP verbs时,访问控制的实现存在安全问题,导致如HEAD,PUT或DELETE等未在配置文件中允许的verb能够直接以jbossadmin身份调用GET处理器, 从而绕过认证。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://kbase.redhat.com/faq/docs/DOC-30741
http://xforce.iss.net/xforce/xfdb/58147
http://secunia.com/advisories/39563/
http://www.securityfocus.com/bid/39710
http://blog.mindedsecurity.com/2010/04/good-bye-critical-jboss-0day.HTML
参考网址
受影响实体
- Redhat Jboss_enterprise_application_platform:4.2.0:Cp07
- Redhat Jboss_enterprise_application_platform:4.2.0:Cp06
- Redhat Jboss_enterprise_application_platform:4.2.0:Cp05
- Redhat Jboss_enterprise_application_platform:4.2.0:Cp04
- Redhat Jboss_enterprise_application_platform:4.2.0:Cp03
补丁
- jboss-eap-src-4.2.0.GA_CP09
- jboss-eap-4.2.0.GA_CP09
- jboss-eap-4.3.0.GA_CP08
- jboss-eap-src-4.3.0.GA_CP08
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论