漏洞起因
设计错误
危险等级
中
影响系统
Red Hat JBoss Enterprise Portal Platform 4.3 CP07
不受影响系统
危害
远程攻击者可以利用漏洞添加,修改,删除数据。
攻击所需条件
攻击者必须访问JBoss JNDI,HA-JNDI服务,HAJNDIFactory调用器。
漏洞信息
JBOSS是一个基于J2EE的开放源代码的应用服务器。
JBoss JNDI,HA-JNDI服务,HAJNDIFactory调用器(invoker servle)存在一个安全漏洞,默认允许未验证远程写访问。能访问端口1099(JNDI),端口1100 (HA-JNDI)或HAJNDIFactory调用器的远程攻击者可以利用此缺陷在JNDI树中添加,删除和修改项目。
测试方法
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
https://bugzilla.redhat.com/show_bug.cgi?id=766469
漏洞提供者
Christian Schlater
评论关闭。