JMX Console in JBoss Application Server 远程口令登陆漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1189652 漏洞类型 未知
发布时间 2007-07-27 更新时间 2007-07-27
CVE编号 CVE-2007-1354 CNNVD-ID CNNVD-200707-502
漏洞平台 N/A CVSS评分 6.0
|漏洞来源
https://www.securityfocus.com/bid/86559
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200707-502
|漏洞详情
JMXConsoleinJBossApplicationServer4.0.2版本和4.0.520070416版本之前的版本的访问权控制功能(JMXOpsAccessControlFilter)运行一个自变量来储存现有用户的角色,这会允许远程验证管理员通过在于多个特权管理员会话的时候登录,触发一个竞争状态并获得特权,例如对WriteMode的ReadMode的特权升级。
|受影响的产品
Jboss Jboss Application Server 4.0.5.Ga Jboss Jboss Application Server 4.0.5 Cp02 Jboss Jboss Application Server 4.0.5 Cp01 Jboss Jboss Application Server 4.0.2.Ga Cp04 Jboss Jboss Applic
|参考资料

来源:MLIST
名称:[jboss-watch-list]20070416[RHSA-2007:0151-01]Low:JBossApplicationServersecurityupdate
链接:http://www.redhat.com/archives/jboss-watch-list/2007-April/msg00000.html
来源:REDHAT
名称:RHSA-2007:0151
链接:http://rhn.redhat.com/errata/RHSA-2007-0151.html
来源:jira.jboss.com
链接:http://jira.jboss.com/jira/browse/ASPATCH-175
来源:jira.jboss.com
链接:http://jira.jboss.com/jira/browse/ASPATCH-172
来源:OSVDB
名称:46765
链接:http://osvdb.org/46765