您的位置:首页 > 移动开发

JBoss Enterprise Application Platform SecurityAssociation.getCredential() 安全绕过漏洞

2013-02-01 10:00 585 查看

漏洞版本:

JBoss Group JBoss Enterprise Web Platform for RHEL 5 Server 5
JBoss Group JBoss Enterprise Web Platform for RHEL 4ES 5
JBoss Group JBoss Enterprise Web Platform for RHEL 4AS 5


漏洞描述:

BUGTRAQ  ID: 57550
CVE(CAN) ID: CVE-2012-3370

JBoss企业应用平台(JBoss Enterprise Application Platform,EAP)是J2EE应用的中间件平台。

JBoss Enterprise Application Platform,如果没有提供安全上下文给SecurityAssociation.getCredential(),则其会返回之前的凭证。根据配置的应用,可允许远程攻击者劫持之前经过身份验证的用户凭证。


<* 参考
http://rhn.redhat.com/errata/RHSA-2013-0194.html

*>

安全建议:

厂商补丁:

JBoss Group
-----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 http://www.jboss.org/[/code]
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签: 
相关文章推荐
新的分享
章节导航