漏洞信息详情
Red Hat RESTEasy 信息泄露漏洞
- CNNVD编号:CNNVD-201408-158
- 危害等级: 中危
- CVE编号: CVE-2014-3490
- 漏洞类型: 设计错误
- 发布时间: 2014-07-23
- 威胁类型: 远程
- 更新时间: 2019-03-25
- 厂 商: redhat
- 漏洞来源: David Jorm
漏洞简介
Red Hat RESTEasy是美国红帽(Red Hat)公司的一个JBoss的开源项目,它提供了用于构建RESTful Web Services和RESTful Java应用程序的各种框架。
Red Hat JBoss Enterprise Application Platform (EAP) 6.3.0版本中使用的RESTEasy 2.3.8.SP2之前2.3.1版本和3.0.9之前3.x版本中存在安全漏洞,该漏洞源于‘resteasy.document.expand.entity.references’参数设置成‘false’时,程序没有禁用外部实体。远程攻击者可利用该漏洞读取任意文件。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://rhn.redhat.com/errata/RHSA-2014-1040.HTML
参考网址
来源:REDHAT
链接:http://rhn.redhat.com/errata/RHSA-2015-0675.HTML
来源:BID
链接:http://www.securityfocus.com/bid/69058
来源:MISC
链接:https://github.com/ronsigal/Resteasy/commit/9b7d0f574cafdcf3bea5428f3145ab4908fc6d83
来源:REDHAT
链接:http://rhn.redhat.com/errata/RHSA-2014-1011.HTML
来源:REDHAT
链接:http://rhn.redhat.com/errata/RHSA-2014-1298.HTML
来源:REDHAT
链接:http://rhn.redhat.com/errata/RHSA-2014-1040.HTML
来源:CONFIRM
链接:https://github.com/resteasy/Resteasy/pull/521
来源:SECUNIA
链接:http://secunia.com/advisories/60019
来源:REDHAT
链接:http://rhn.redhat.com/errata/RHSA-2014-1039.HTML
来源:CONFIRM
链接:https://github.com/resteasy/Resteasy/pull/533
来源:REDHAT
链接:http://rhn.redhat.com/errata/RHSA-2015-0720.HTML
来源:REDHAT
链接:http://rhn.redhat.com/errata/RHSA-2015-0125.HTML
来源:CONFIRM
链接:http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.HTML
来源:REDHAT
链接:http://rhn.redhat.com/errata/RHSA-2015-0765.HTML
受影响实体
- Redhat Resteasy:3.0.7
- Redhat Resteasy:3.0.6
- Redhat Resteasy:3.0.5
- Redhat Resteasy:3.0.4
- Redhat Resteasy:3.0.2
补丁
- resteasy-2.3.8-5.SP1_redhat_1.1.ep6.el6.src
- resteasy-2.3.8-5.SP1_redhat_1.1.ep6.el5.src
评论