JVNDB-2011-005198

複数の JBoss Enterprise 製品における認証を回避される脆弱性

複数の JBoss Enterprise 製品の httpha-invoker により呼び出されるサーブレットは、GET および POST メソッドに対してのみアクセス制御を実行するため、認証を回避される脆弱性が存在します。

本脆弱性は、CVE-2010-0738 のリグレッションに起因する脆弱性です。

レッドハット

• JBoss Enterprise Application Platform 5.1.2 未満
• Red Hat JBoss BRMS 5.3.0 未満
• Red Hat JBoss Portal 4.3 CP07 未満
• Red Hat JBoss SOA Platform 5.2.0 未満

第三者により、GET および POST メソッドと異なるメソッドでリクエストを送信されることで、認証を回避される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

レッドハット

• Red Hat Bugzilla : Bug 750422
• Red Hat Security Advisory : RHSA-2012:1028
• Red Hat Security Advisory : RHSA-2012:0091
• Red Hat Security Advisory : RHSA-2011:1805
• Red Hat Security Advisory : RHSA-2011:1800
• Red Hat Security Advisory : RHSA-2011:1799
• Red Hat Security Advisory : RHSA-2011:1798
• Red Hat Security Advisory : RHSA-2011:1456

1. 不適切な認証(CWE-287) [NVD評価]

1. CVE-2011-4085

1. National Vulnerability Database (NVD) : CVE-2011-4085

• [2012年11月27日]
    掲載