漏洞起因
设计错误
危险等级
中
影响系统
JBoss Enterprise Application Platform (即JBoss EAP或JBEAP) 6.0.1之前版本
不受影响系统
危害
远程攻击者可以利用漏洞绕过安全限制获得未授权访问。
攻击所需条件
攻击者必须访问JBOSS应用。
漏洞信息
JBOSS是一个基于J2EE的开放源代码的应用服务器。
当使用基于角色的授权用于Enterprise Java Beans (EJB)访问时,必须使用JACC权限来判断访问;但是存在一个安全漏洞没有调用配置的授权模块(JACC, XACML等),使得JACC权限没有用来判断EJB访问,允许远程攻击者获得对EJB的未授权访问。
测试方法
厂商解决方案
JBoss Enterprise Application Platform 6.0.1已经修复此漏洞,建议用户下载使用:
https://rhn.redhat.com/errata/RHSA-2012-1594.html
漏洞提供者
vendor
评论关闭。