Red Hat JBoss企业应用平台存在多个安全漏洞

漏洞起因
设计错误
危险等级

 
影响系统
Red Hat JBoss Enterprise Application Platform 4.3.x
  
 
不受影响系统
 
危害
远程攻击者可以利用漏洞进行拒绝服务,跨站请求伪造和任意代码执行攻击。
 
攻击所需条件
攻击者必须访问JBoss Enterprise Application Platform或构建恶意链接诱使管理员访问。
 
漏洞信息
JBoss Enterprise Application Platform是一款企业级应用程序平台,用于基于JBoss的应用开发。
 JBoss Enterprise存在多个安全漏洞,允许本地攻击者进行拒绝服务,跨站请求伪造攻击和任意代码执行攻击。

JBoss Drools实现在反序列化过程中存在输入过滤错误,提交嵌入类文件的特制输入给基于JBoss Seam的接收序列化输入的应用程序,可导致任意代码执行。

 JMX控制台存在跨站请求伪造缺陷,构建特制的WEB页,诱使登录JMX控制台管理员访问,远程攻击者可以利用此缺陷在目标服务器上配置他们指定的WAR文件。

 JBoss远程组件存在缺陷,远程攻击者可以使用特制输入,可导致JBoss Remoting listeners停止响应,对通过JBoss Remoting套接字通信的服务进行拒绝服务攻击。
 
测试方法
 
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
https://rhn.redhat.com/errata/RHSA-2010-0937.html
https://rhn.redhat.com/errata/RHSA-2010-0938.html
 
漏洞提供者
vendor
 
漏洞消息链接
http://secunia.com/advisories/42398/