VULHUB ™

BUGTRAQ ID: 39710 CVE ID: CVE-2010-0738,CVE-2010-1428,CVE-2010-1429 JBoss企业应用平台（EAP）是J2EE应用的中间件平台。 JBoss企业应用平台中存在多个非授权访问漏洞，远程用户可以绕过认证执行非授权操作或读取敏感信息。 1) JMX控制台配置仅对使用GET和POST HTTP命令的请求指定了认证要求，远程攻击者可以创建没有指定GET或POST的HTTP请求，导致无需认证便被默认的GET处理器执行。 2) 默认阻断了对JBoss应用服务器Web控制台（/web-console）的非认证访问，但这种阻断并不彻底，仅阻断了GET和POST HTTP命令。远程攻击者可以利用这个漏洞访问敏感信息。 3) RHSA-2008:0828更新修复了未经认证用户可访问状态servlet的漏洞（CVE-2008-3273）；但RHSA-2009:0349中的bug修复重新引入了这个漏洞。远程攻击者可以利用这个漏洞获得有关所部署的web上下文的详细信息。 RedHat JBoss EAP 4.3 RedHat JBoss EAP 4.2 厂商补丁： RedHat ------ RedHat已经为此发布了一个安全公告（RHSA-2010:0376-01）以及相应补丁: RHSA-2010:0376-01：Critical: JBoss Enterprise Application Platform 4.2.0.CP09 update 链接：https://www.redhat.com/support/errata/RHSA-2010-0376.html

BUGTRAQ ID: 39710 CVE ID: CVE-2010-0738,CVE-2010-1428,CVE-2010-1429 JBoss企业应用平台（EAP）是J2EE应用的中间件平台。 JBoss企业应用平台中存在多个非授权访问漏洞，远程用户可以绕过认证执行非授权操作或读取敏感信息。 1) JMX控制台配置仅对使用GET和POST HTTP命令的请求指定了认证要求，远程攻击者可以创建没有指定GET或POST的HTTP请求，导致无需认证便被默认的GET处理器执行。 2) 默认阻断了对JBoss应用服务器Web控制台（/web-console）的非认证访问，但这种阻断并不彻底，仅阻断了GET和POST HTTP命令。远程攻击者可以利用这个漏洞访问敏感信息。 3) RHSA-2008:0828更新修复了未经认证用户可访问状态servlet的漏洞（CVE-2008-3273）；但RHSA-2009:0349中的bug修复重新引入了这个漏洞。远程攻击者可以利用这个漏洞获得有关所部署的web上下文的详细信息。 RedHat JBoss EAP 4.3 RedHat JBoss EAP 4.2 厂商补丁： RedHat ------ RedHat已经为此发布了一个安全公告（RHSA-2010:0376-01）以及相应补丁: RHSA-2010:0376-01：Critical: JBoss Enterprise Application Platform 4.2.0.CP09 update 链接：https://www.redhat.com/support/errata/RHSA-2010-0376.html