漏洞起因
设计错误
危险等级
低
影响系统
JBoss Group JBoss Cache 3.2.8.GA
不受影响系统
JBoss Group JBoss Cache 3.2.9.GA
危害
本地攻击者可以利用漏洞获得敏感验证信息。
攻击所需条件
攻击者必须访问JBoss Cache。
漏洞信息
JBoss Cache是针对Java应用的企业级集群解决方案,其目的是通过缓存需要频繁访问的Java对象,提高应用的可用性并大幅度提升应用的整体性能。
JBoss Cache存在安全漏洞,允许本地用户获得敏感信息。
当连接失败时,”getConnection()”函数(jboss/cache/loader/NonManagedConnectionFactory.java)会把用户名和密码记录到日志文件中,本地攻击者可以访问日志信息获得敏感验证信息。
测试方法
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
https://issues.jboss.org/browse/JBCACHE-1612
漏洞提供者
Tom Fonteyne
评论关闭。