JBoss Enterprise Application Platform 安全绕过漏洞

CNNVD-ID编号	CNNVD-201302-070
CVE编号	CVE-2012-3369
发布时间	2012-06-29
更新时间	2013-02-06
漏洞类型	权限许可和访问控制
漏洞来源	Carlo de Wolf of Red Hat
危险等级	中危
威胁类型	远程
厂商	redhat

漏洞介绍

Red Hat JBoss Enterprise Application Platform（EAP）是美国红帽（Red Hat）公司的一套开源、基于J2EE的中间件平台。该平台主要用于构建、部署和托管Java应用程序与服务。

JBoss Enterprise Application Platform (EAP) 5.2.0，Web Platform (EWP) 5.2.0，以及BRMS Platform 5.3.1之前版本中的CallerIdentityLoginModule中存在漏洞。远程攻击者可通过空密码利用该漏洞获取之前用户的权限，这也将导致之前用户的密码被盗用。

漏洞补丁

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://rhn.redhat.com/errata/RHSA-2013-0221.html

参考网址

来源: bugzilla.redhat.com

链接：https://bugzilla.redhat.com/show_bug.cgi?id=836451
来源: XF

名称: jboss-eap-session-hijacking(81512)

链接：http://xforce.iss.net/xforce/xfdb/81512
来源: BID

名称: 57547

链接：http://www.securityfocus.com/bid/57547
来源: SECTRACK

名称: 1028042

链接：http://securitytracker.com/id?1028042
来源: SECUNIA

名称: 52054

链接：http://secunia.com/advisories/52054
来源: SECUNIA

名称: 51984

链接：http://secunia.com/advisories/51984
来源: REDHAT

名称: RHSA-2013:0221

链接：http://rhn.redhat.com/errata/RHSA-2013-0221.html
来源: REDHAT

名称: RHSA-2013:0198

链接：http://rhn.redhat.com/errata/RHSA-2013-0198.html
来源: REDHAT

名称: RHSA-2013:0197

链接：http://rhn.redhat.com/errata/RHSA-2013-0197.html
来源: REDHAT

名称: RHSA-2013:0196

链接：http://rhn.redhat.com/errata/RHSA-2013-0196.html
来源: REDHAT

名称: RHSA-2013:0195

链接：http://rhn.redhat.com/errata/RHSA-2013-0195.html
来源: REDHAT

名称: RHSA-2013:0194

链接：http://rhn.redhat.com/errata/RHSA-2013-0194.html
来源: REDHAT

名称: RHSA-2013:0193

链接：http://rhn.redhat.com/errata/RHSA-2013-0193.html
来源: REDHAT

名称: RHSA-2013:0192

链接：http://rhn.redhat.com/errata/RHSA-2013-0192.html

受影响实体

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201302-070