JBoss企业应用平台多个非授权访问漏洞
发布时间:2014-08-13 15:58:24作者:知识屋
影响版本:
RedHat JBoss EAP 4.3
RedHat JBoss EAP 4.2
描述:
JBoss企业应用平台(EAP)是J2EE应用的中间件平台。
JBoss企业应用平台中存在多个非授权访问漏洞,远程用户可以绕过认证执行非授权操作或读取敏感信息。
1) JMX控制台配置仅对使用GET和POST HTTP命令的请求指定了认证要求,远程攻击者可以创建没有指定GET或POST的HTTP请求,导致无需认证便被默认的GET处理器执行。
2) 默认阻断了对JBoss应用服务器Web控制台(/web-console)的非认证访问,但这种阻断并不彻底,仅阻断了GET和POST HTTP命令。远程攻击者可以利用这个漏洞访问敏感信息。
3) RHSA-2008:0828更新修复了未经认证用户可访问状态servlet的漏洞(CVE-2008-3273);但RHSA-2009:0349中的bug修复重新引入了这个漏洞。远程攻击者可以利用这个漏洞获得有关所部署的web上下文的详细信息。<*参考
*>
安全建议:
厂商补丁:
RedHat
------
RedHat已经为此发布了一个(RHSA-2010:0376-01)以及相应补丁:
RHSA-2010:0376-01:Critical: JBoss Enterprise Application Platform 4.2.0.CP09 update
链接:">https://www.redhat.com/support/errata/RHSA-2010-0376.html
知识阅读
![[XDCTF]Shellcode DIY](http://file.zhishiwu.com/allimg/c140428/13bAb4R5260-135607.jpg)
软件推荐
更多 >
-
1菜鸟简单抓肉鸡(如何抓肉鸡)
2011-06-17
-
2
电脑开机时出现lass.exe进程是病毒吗?
-
3
自拍须谨慎!教你如何通过照片定位查看拍摄地点
-
4
电脑病毒最基础知识
-
5
黑客学员必须了解的C语言技术
-
6
精典详细内网渗透专题文章
-
7
教你破解Tp-Link的无线路由密码
-
8
解决SecureCRT中文显示乱码
-
9
QQ电脑管家和360哪个好?横评实测对比
-
10
攻防实战:无线网络路由入侵过程
