漏洞起因
设计错误
危险等级
中
影响系统
JBoss Enterprise Application Platform 5.x
JBoss Enterprise Web Platform 5.x
JBoss Enterprise Web Server 1.x
JBoss Enterprise Web Server EL5
JBoss Enterprise Web Server EL6
Red Hat JBoss Enterprise Application Platform 5.x
Red Hat JBoss Enterprise Web Server 1.x
不受影响系统
危害
远程攻击者可以利用漏洞绕过安全限制访问受限应用。
攻击所需条件
攻击者必须访问JBoss Enterprise Application Platform使用的mod_cluster。
漏洞信息
JBOSS是一个基于J2EE的开放源代码的应用服务器。
JBoss Enterprise Application Platform使用的mod_cluster 1.0.10 CP03之前的1.0.10和1.1.4之前的1.1.x版本,当”ROOT”设置为excludedContexts, 默认公开服务器的root上下文,允许远程攻击者绕过访问限制,获得对部署在root上下文上应用的访问。
测试方法
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
RHSA-2012:1010-1:
https://rhn.redhat.com/errata/RHSA-2012-1010.html
RHSA-2012:1011-1:
https://rhn.redhat.com/errata/RHSA-2012-1011.html
RHSA-2012:1012-1:
https://rhn.redhat.com/errata/RHSA-2012-1012.html
RHSA-2012:1052-1:
https://rhn.redhat.com/errata/RHSA-2012-1052.html
RHSA-2012:1053-1:
https://rhn.redhat.com/errata/RHSA-2012-1053.html
RHSA-2012:1166-01:
https://rhn.redhat.com/errata/RHSA-2012-1166.html
漏洞提供者
Ivano Binetti
评论关闭。