JBoss Enterprise Application Platform SecurityAssociation.getCredential() 安全绕过漏洞

最新推荐文章于 2020-07-08 12:05:59 发布
最新推荐文章于 2020-07-08 12:05:59 发布
阅读量94 收藏 1
点赞数
原文链接:http://www.cnblogs.com/security4399/archive/2013/02/01/2888526.html
版权
漏洞版本:
JBoss Group JBoss Enterprise Web Platform for RHEL 5 Server 5
JBoss Group JBoss Enterprise Web Platform for RHEL 4ES 5
JBoss Group JBoss Enterprise Web Platform for RHEL 4AS 5
漏洞描述:
BUGTRAQ  ID: 57550
CVE(CAN) ID: CVE-2012-3370

JBoss企业应用平台(JBoss Enterprise Application Platform,EAP)是J2EE应用的中间件平台。

JBoss Enterprise Application Platform,如果没有提供安全上下文给SecurityAssociation.getCredential(),则其会返回之前的凭证。根据配置的应用,可允许远程攻击者劫持之前经过身份验证的用户凭证。
<* 参考
http://rhn.redhat.com/errata/RHSA-2013-0194.html
*>
安全建议:
厂商补丁:

JBoss Group
-----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.jboss.org/

转载于:https://www.cnblogs.com/security4399/archive/2013/02/01/2888526.html

weixin_30517001
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IPsec介绍
u014023993的专栏
01-21 2187
目录 1. IPsec概述 2. 安全体系 2.1 Authentication Header(AH) 2.2 Encapsulating Security Payload(ESP) 2.3 Security association(SA) 3. 运行模式 3.1 传输模式 3.2 隧道模式 4 Security Association(SA) 4.1 SA概述 4.2 SA...
Mastering JBoss Enterprise Application Platform 7 azw3
10-01
Mastering JBoss Enterprise Application Platform 7 英文azw3 本资源转载自网络,如有侵权,请联系上传者或csdn删除 本资源转载自网络,如有侵权,请联系上传者或csdn删除
JBoss Enterprise Application Platform安全绕过漏洞
weixin_30492047的博客
01-05 501
漏洞版本: JBoss Enterprise Application Platform (即JBoss EAP或JBEAP) 6.0.1之前版本 漏洞描述: CVE ID:CVE-2012-4550 JBOSS是一个基于J2EE的开放源代码的应用服务器。 当使用基于角色的授权用于Enterprise Java Beans (EJB)访问时,必须使用JACC权限来判断访...
JBoss Enterprise Portal Platform多个跨站脚本执行漏洞
weixin_30532369的博客
01-28 77
漏洞版本: RedHat Enterprise Portal Platform 5.x 漏洞描述: BUGTRAQ ID: 57521 CVE(CAN) ID: CVE-2012-5531 JBoss Enterprise Portal Platform是构建和管理动态网站的平台。 JBoss Enterprise Portal Platform 5.2.2内的G...
JBOSS EAP 5.1.2瘦身及安全加固
cuizao0418的博客
03-15 397
最近公司新上线的核心系统要使用JBOSS分布式集群作为中间件,使用的是较稳定的JBOSS EAP 5.1.2版本,最近研究了下JBOSS安全加固以及瘦身相关的知识,下载了JBOSS5企业版,开始进行调优,主要通过以下几...
Flutter 起步 安装
SimonWvW
09-04 150
Mac 使用Android studio, google 亲儿子. xcode 1. 下载flutter, flutter中文网站提供了国内镜像 https://flutter-io.cn/docs/get-started/install 2. 配置/Users/$hostname/.bash_profile export PUB_HOSTED_URL=https://pub.flutter-io...
JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149)
a1b2c3是弱口令
12-16 1734
漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。 环境 JBoss 5.x/6.x 自行安装 漏洞原理 该漏洞出现在/invoker/readonly请求中,服务器将用户提交的POST内容进行了Java反...
渗透测试-JBoss 5.x/6.x反序列化漏洞
道阻且长,行则将至。
07-08 1702
漏洞概述 2017年8月30日,Redhat公司发布了一个JbossAS 5.x系统的远程代码执行严重漏洞通告,相应的漏洞编号为 CVE-2017-12149。近期有安全研究者发现JbossAS 6.x也受该漏洞影响,攻击者可能利用此漏洞无需用户验证在系统上执行任意命令。 类型 描述 漏洞名称 JBOSSAS5.x/6.x反序列化命令执行漏洞 威胁类型 远程命令执行 威胁等级 高 漏洞ID CVE-2017-12149 受影响系统及应用版本 Jboss AS 5.x、Jbos
Mastering.JBoss.Enterprise.Application.Platform.7.2016
08-06
Mastering.JBoss.Enterprise.Application.Platform.7.2016
JBoss_Enterprise_Application_Platform-7.0
02-21
JBOSS7.0全套的api 从官网下载 https://developers.redhat.com/products/eap/docs-and-apis/ 同学们不用再一个个下载啦!
wildfly-ssl-examples:这些示例演示了WildFly或JBoss Enterprise Application Platform上通过相互SSL进行的客户端证书身份验证。
05-14
这些示例演示了在JBoss Enterprise Application Platform 6或WildFly中使用相互客户端SSL身份验证。 本快速入门介绍了如何使用双向客户端ssl方案使用wildfly对用户进行身份验证。 在运行此示例之前,必须创建证书...
jboss jar包snowdrop-vfs.jar和jboss-logging.jar
11-17
jboss jar包snowdrop-vfs.jar和jboss-logging.jar用于解决解决JBoss与Spring兼容的问题
国内移动端APP月活跃(MAU)Top5000 数据整理
06-16
国内移动端APP月活跃(MAU)Top5000 时间范围:2020年-2022年 具有一定参考价值 csv格式
和平巨魔跨进成免费.ipa
最新发布
06-16
和平巨魔跨进成免费.ipa
数据库管理工具:dbeaver-ce-23.0.4-macos-aarch64.dmg
06-16
1.DBeaver是一款通用数据库工具,专为开发人员和数据库管理员设计。 2.DBeaver支持多种数据库系统,包括但不限于MySQL、PostgreSQL、Oracle、DB2、MSSQL、Sybase、Mimer、HSQLDB、Derby、SQLite等,几乎涵盖了市场上所有的主流数据库。 3.支持的操作系统:包括Windows(2000/XP/2003/Vista/7/10/11)、Linux、Mac OS、Solaris、AIX、HPUX等。 4.主要特性: 数据库管理:支持数据库元数据浏览、元数据编辑(包括表、列、键、索引等)、SQL语句和脚本的执行、数据导入导出等。 用户界面:提供图形界面来查看数据库结构、执行SQL查询和脚本、浏览和导出数据,以及处理BLOB/CLOB数据等。用户界面设计简洁明了,易于使用。 高级功能:除了基本的数据库管理功能外,DBeaver还提供了一些高级功能,如数据库版本控制(可与Git、SVN等版本控制系统集成)、数据分析和可视化工具(如图表、统计信息和数据报告)、SQL代码自动补全等。
【课件】8.4.1简单选择排序.pdf
06-16
【课件】8.4.1简单选择排序
写的一个静态网站随便写的
06-16
写的一个静态网站随便写的写的一个静态网站随便写的写的一个静态网站随便写的写的一个静态网站随便写的写的一个静态网站随便写的写的一个静态网站随便写的写的一个静态网站随便写的
Java项目-基于SSM+JSP的教学质量评价系统的设计与实现(源码+万字LW+部署视频+代码讲解视频+全套软件)
06-16
【基于SSM+JSP的教学质量评价系统的设计与实现】高分通过项目,已获导师指导。 本项目是一套基于SSM+JSP的教学质量评价系统,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的Java学习者。也可作为课程设计、期末大作业 包含:项目源码、数据库脚本、开发说明文档、部署视频、代码讲解视频、全套软件等,该项目可以直接作为毕设使用。 项目都经过严格调试,确保可以运行! 项目详情: https://blog.csdn.net/u011832806/article/details/139522897
jboss(version:-4.2.0.ga)下载
10-23
1. 首先,打开JBoss的官方网站,网址为https://www.jboss.org。 2. 在官方网站的主页上,找到菜单或链接,点击进入“Downloads”(下载)页面。 3. 在“Downloads”页面上,您可以找到JBoss的不同版本和各种相关工具...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值