JBoss Enterprise Application Platform 安全绕过漏洞

漏洞信息详情

JBoss Enterprise Application Platform 安全绕过漏洞

• CNNVD编号：CNNVD-201212-288
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2012-4549
  
• 漏洞类型：
  
  
  权限许可和访问控制
  
• 发布时间：
  
  2012-12-21
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2013-01-07
  
• 厂        商：
  
  redhat
• 漏洞来源：
  Arun Neelicattu

Red Hat JBoss Enterprise Application Platform（EAP）是美国红帽（Red Hat）公司的一套开源、基于J2EE的中间件平台。该平台主要用于构建、部署和托管Java应用程序与服务。

JBoss Enterprise Application Platform (又名JBoss EAP或JBEAP)6.0.1之前版本中的org.jboss.as.ejb3.security.AuthorizationInterceptor中的processInvocation函数中存在漏洞，该漏洞源于禁止任何角色调用Enterprise Java Beans (EJB)方法时，程序将对所有请求进行授权。攻击者利用该漏洞绕过预期的EJB方法访问限制。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://rhn.redhat.com/errata/RHSA-2012-1594.html

来源: SECUNIA

名称: 51607

链接:http://secunia.com/advisories/51607

来源: REDHAT

名称: RHSA-2012:1594

链接:http://rhn.redhat.com/errata/RHSA-2012-1594.html

来源: REDHAT

名称: RHSA-2012:1592

链接:http://rhn.redhat.com/errata/RHSA-2012-1592.html

来源: REDHAT

名称: RHSA-2012:1591

链接:http://rhn.redhat.com/errata/RHSA-2012-1591.html

来源: BID

名称: 56990

链接:http://www.securityfocus.com/bid/56990