阿里云漏洞库

Red Hat JBoss Enterprise Application Platform（EAP）是美国红帽（Red Hat）公司的一套开源、基于J2EE的中间件平台。该平台主要用于构建、部署和托管Java应用程序与服务。

Red Hat JBoss EAP 3.0.7版本至3.1.4版本中存在安全漏洞。攻击者可利用该漏洞向服务器响应中注入任意的HTTP包头利用该漏洞绕过安全控制，使缓存中毒，并更改请求或相应页面。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://issues.jboss.org/browse/RESTEASY-1704

参考链接
http://www.securityfocus.com/bid/100465
https://access.redhat.com/errata/RHSA-2018:0002
https://access.redhat.com/errata/RHSA-2018:0003
https://access.redhat.com/errata/RHSA-2018:0004
https://access.redhat.com/errata/RHSA-2018:0005
https://access.redhat.com/errata/RHSA-2018:0478
https://access.redhat.com/errata/RHSA-2018:0479
https://access.redhat.com/errata/RHSA-2018:0480
https://access.redhat.com/errata/RHSA-2018:0481
https://issues.jboss.org/browse/RESTEASY-1704

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	3.0.7	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	3.0.8	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	3.1.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	3.1.1	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	3.1.2	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	3.1.4	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	3.1.5	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	3.2.13	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	3.2.3	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	3.2.4	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	3.2.5	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	3.2.9	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	3.3.0	-
	运行在以下环境
	应用	redhat	jboss_enterprise_application_platform	3.5.1	-
	运行在以下环境
	系统	debian_10	resteasy3.0	*		Up to (excluding) 3.0.26-1
	运行在以下环境
	系统	debian_11	resteasy3.0	*		Up to (excluding) 3.0.26-1
	运行在以下环境
	系统	debian_12	resteasy3.0	*		Up to (excluding) 3.0.26-1

CWE-ID	漏洞类型
CWE-444	HTTP请求的解释不一致性（HTTP请求私运）