漏洞信息详情

Red Hat JBoss企业应用平台JMX控制台存在安全绕过漏洞

• CNNVD编号：CNNVD-201005-424
• 危害等级： 中危
  
• CVE编号： CVE-2010-0738
• 漏洞类型： 权限许可和访问控制
• 发布时间： 2010-05-26
• 威胁类型： 远程
• 更新时间： 2010-05-27
• 厂        商： redhat
• 漏洞来源：

漏洞简介

JBoss Enterprise Application Platform WEB控制台(/web-console)缺少正确限制，攻击者提交没有指定GET或POST的HTTP请求绕过验证，访问系统。JBOSS在配置HTTP verbs时，访问控制的实现存在安全问题，导致如HEAD，PUT或DELETE等未在配置文件中允许的verb能够直接以jbossadmin身份调用GET处理器, 从而绕过认证。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://kbase.redhat.com/faq/docs/DOC-30741

http://xforce.iss.net/xforce/xfdb/58147

http://secunia.com/advisories/39563/

http://www.securityfocus.com/bid/39710

http://blog.mindedsecurity.com/2010/04/good-bye-critical-jboss-0day.HTML

参考网址

受影响实体

• Redhat Jboss_enterprise_application_platform:4.2.0:Cp07  
• Redhat Jboss_enterprise_application_platform:4.2.0:Cp06  
• Redhat Jboss_enterprise_application_platform:4.2.0:Cp05  
• Redhat Jboss_enterprise_application_platform:4.2.0:Cp04  
• Redhat Jboss_enterprise_application_platform:4.2.0:Cp03  

补丁

• jboss-eap-src-4.2.0.GA_CP09
• jboss-eap-4.2.0.GA_CP09
• jboss-eap-4.3.0.GA_CP08
• jboss-eap-src-4.3.0.GA_CP08