JBoss Web CVE-2011-4610远程拒绝服务漏洞

漏洞起因
异常条件处理失败错误
危险等级

影响系统
Red Hat JBoss Enterprise Web Platform 5.1.2
Red Hat JBoss Enterprise Web Platform 5 EL6
Red Hat JBoss Enterprise Web Platform 5 EL5
Red Hat JBoss Enterprise Web Platform 5 EL4
Red Hat JBoss Enterprise Application Platform 5.1.2
Red Hat JBoss Enterprise Application Platform 5 EL6
Red Hat JBoss Enterprise Application Platform 5 EL5
Red Hat JBoss Enterprise Application Platform 5 EL4
Red Hat JBoss Communications Platform 5.1.3

不受影响系统

危害
远程攻击者可以利用漏洞使服务程序崩溃。

攻击所需条件
攻击者必须访问JBOSS。

漏洞信息
JBOSS是一个基于J2EE的开放源代码的应用服务器。
当代理对(Surrogate Pairs)字符位于内部缓冲区边界时JBoss Web会进入一个无限循环,远程攻击者可以利用此缺陷触发对JBoss Web服务器的拒绝服务攻击。此JBoss Web服务器上的应用程序需使用UTF-8字符编码或在应答中包含用户提供的UTF-8字符串。

测试方法

厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
https://rhn.redhat.com/errata/RHSA-2012-0078.html

漏洞提供者
NTT OSSC

评论关闭。