JBoss Enterprise Application Platform SecurityAssociation.getCredential() 安全绕过漏洞
2013-02-01 10:00
585 查看
漏洞版本:
JBoss Group JBoss Enterprise Web Platform for RHEL 5 Server 5 JBoss Group JBoss Enterprise Web Platform for RHEL 4ES 5 JBoss Group JBoss Enterprise Web Platform for RHEL 4AS 5
漏洞描述:
BUGTRAQ ID: 57550 CVE(CAN) ID: CVE-2012-3370 JBoss企业应用平台(JBoss Enterprise Application Platform,EAP)是J2EE应用的中间件平台。 JBoss Enterprise Application Platform,如果没有提供安全上下文给SecurityAssociation.getCredential(),则其会返回之前的凭证。根据配置的应用,可允许远程攻击者劫持之前经过身份验证的用户凭证。
<* 参考
*>
安全建议:
厂商补丁: JBoss Group ----------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.jboss.org/[/code]
相关文章推荐
- JBoss Enterprise Application Platform安全绕过漏洞
- JBoss Enterprise Portal Platform多个跨站脚本执行漏洞
- Linux Kernel “dispatch_discard_io()”RO Disk Manipulation安全绕过漏洞
- Android静态安全检测 -> WebView File域同源策略绕过漏洞
- WordPress MailUp插件‘Ajax’函数安全绕过漏洞
- EnterPrise应用(3) Security Application Block应用程序块 认证处理(VB.NET)
- EnterPrise应用(4) Security Application Block应用程序块 角色处理(VB.NET)
- Python‘ssl.match_hostname()’函数SSL证书验证安全绕过漏洞
- Liveupdate的安全漏洞导致MSN升级被挂马而绕过诺顿防火墙
- SSL/TLS LogJam中间人安全限制绕过漏洞 (CVE-2015-4000)
- WordPress Frontier Post插件安全绕过漏洞
- Windows 任务计划程序中的漏洞可能允许安全功能绕过
- PHP COM组件调用绕过安全模式执行任意文件漏洞
- FreeBSD sendfile(2)函数只写文件权限绕过安全限制漏洞
- Apache Struts 安全措施绕过漏洞(CVE-2013-4310)
- WordPress Exploit Scanner插件安全绕过漏洞
- Apache Struts2 s2-020补丁安全绕过漏洞
- Linux Kernel 'dispatch_discard_io()'安全绕过漏洞
- Linux Kernel 多个本地安全绕过漏洞
- TeamSpeak Server多个拒绝服务和绕过安全限制漏洞