阿里云漏洞库

漏洞描述

JBoss Enterprise SOA Platform是一款企业级服务导向架构平台。通过httpha-invoker部署的Servlet调用器，仅对HTTP GET和POST方法执行了访问控制，允许远程攻击者通过其他不同的HTTP方法执行未验证请求。由于安全拦截器提供的第二层验证，此问题不能在默认安装上利用，除非管理员错误的配置了安全拦截器或禁用了它。

解决建议

JBoss Enterprise SOA Platform 5.2.0已经修复此漏洞，建议用户下载使用：http://www.jboss.org/

参考链接
http://rhn.redhat.com/errata/RHSA-2011-1456.html
http://rhn.redhat.com/errata/RHSA-2011-1798.html
http://rhn.redhat.com/errata/RHSA-2011-1799.html
http://rhn.redhat.com/errata/RHSA-2011-1800.html
http://rhn.redhat.com/errata/RHSA-2011-1805.html
http://rhn.redhat.com/errata/RHSA-2011-1822.html
http://rhn.redhat.com/errata/RHSA-2012-0091.html
http://rhn.redhat.com/errata/RHSA-2012-1028.html
http://secunia.com/advisories/47169
http://secunia.com/advisories/47866
https://bugzilla.redhat.com/show_bug.cgi?id=750422

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	*		Up to (including) 5.1.1
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	4.2.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	4.3.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	5.0.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	5.0.1	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	5.1.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_brms_platform	*		Up to (including) 5.2.0
	运行在以下环境
	应用	redhat	jboss_enterprise_portal_platform	*		Up to (including) 4.3.0
	运行在以下环境
	应用	redhat	jboss_enterprise_soa_platform	*		Up to (including) 5.1.1
	运行在以下环境
	应用	redhat	jboss_enterprise_soa_platform	4.2.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_soa_platform	4.3.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_soa_platform	5.0.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_soa_platform	5.0.1	-
	运行在以下环境
	应用	redhat	jboss_enterprise_soa_platform	5.0.2	-
	运行在以下环境
	应用	redhat	jboss_enterprise_soa_platform	5.1.0	-

攻击路径

网络
攻击复杂度

N/A
权限要求

无
影响范围

N/A
用户交互

无
可用性

部分地
保密性

部分地
完整性

部分地

CWE-ID	漏洞类型
CWE-287	认证机制不恰当

JBoss Enterprise SOA平台Servlet调用器验证绕过漏洞

漏洞描述

解决建议

参考链接

受影响软件情况