0
我们使用JBoss 5.1.0 GA作为我们的应用服务器。我们的安全团队已标记漏洞CVE-2012-0874。JBoss 5.1.0 AS漏洞CVE-2012-0874
说明:
的JMXInvokerHAServlet和EJBInvokerHAServlet调用servlet的默认允许未经验证的访问在一些配置文件。由于安全拦截器提供的第二层认证,没有办法直接利用这个缺陷。如果用户错误地配置了安全拦截器或无意中禁用了安全拦截器,则此漏洞可被利用。远程攻击者可以利用这个漏洞调用MBean方法,并在运行JBoss服务器的用户上下文中运行任意代码。
在JBoss 5.2.0企业应用程序平台更新中已修复此问题。
我们不想升级JBoss版本,并想修复现有版本中的问题。
相关漏洞的错误是在
https://bugzilla.redhat.com/show_bug.cgi?id=795645
一个在错误的意见,跟踪提到:
的拦截器,这个漏洞默认的区块开采jboss-声明as/server/$ PROFILE/deploy/jmx-invoker-service.xml:
interceptor code =“org.jboss.jmx.connector.invoker.AuthenticationInterceptor”securityDomain =“jav a:/ jaas/jmx-console“
我已经在5.1.0中进行了检查,而在5.2.0中,拦截器被注释掉了,它被取消注释。
我需要知道的是,上述拦截器的取消注释将修复漏洞CVE-2012-0874,或者需要做更多更改。