JBoss Enterprise Application Platform远程拒绝服务漏洞

漏洞信息详情

JBoss Enterprise Application Platform远程拒绝服务漏洞

• CNNVD编号：CNNVD-201109-251
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2011-1483
  
• 漏洞类型：
  
  
  资料不足
  
• 发布时间：
  
  1900-01-01
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2019-10-17
  
• 厂        商：
  
  redhat
• 漏洞来源：
  Marc Schoenefeld

Red Hat JBoss Enterprise Application Platform（EAP）是美国红帽（Red Hat）公司的一套开源、基于J2EE的中间件平台。该平台主要用于构建、部署和托管Java应用程序与服务。

JBossWS Native中的wsf/common/DOMUtils.java文件中存在安全漏洞，该漏洞源于在实体扩展期间程序没有正确处理递归。远程攻击者可通过发送通过包含带有DOCTYPE声明和大量嵌套式实体引用的XML文档的特制请求利用该漏洞造成拒绝服务（内存和CPU耗尽）。以下产品和版本受到影响：Red Hat JBoss Enterprise Application Platform 4.2.0.CP09，4.3和5.1.1版本；JBoss Enterprise Portal Platform 4.3.CP06和5.1.1版本；JBoss Enterprise SOA Platform 4.2.CP05，4.3.CP05及5.1.0版本；JBoss Communications Platform 1.2.11和5.1.1版本；JBoss Enterprise BRMS Platform 5.1.0版本；JBoss Enterprise Web Platform 5.1.1版本。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://h20566.www2.hp.com/portal/site/hpsc/template.PAGE/public/kb/docDisplay/?spf_p.tpst=kbDocDisplay&spf_p.prp_kbDocDisplay=wsrp-navigationalState%3DdocId%253Demr_na-c03824583-1%257CdocLocale%253D%257CcalledBy%253D&javax.portlet.begCacheTok=com.vignette.cachetoken&javax.portlet.endCacheTok=com.vignette.cachetoken

来源:HP

链接:https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c03824583

来源:CONFIRM

链接:https://bugzilla.redhat.com/show_bug.cgi?id=692584

来源:CONFIRM

链接:http://source.jboss.org/changelog/JBossWS/?cs=13996