JBoss 'mod_cluster'安全绕过漏洞

Bugtraq ID: 51554 CVE ID：CVE-2011-4608 JBOSS是一个基于J2EE的开放源代码的应用服务器。 mod_cluster允许worker节点在任意虚拟主机(vhost)上注册，而无视应用在其他虚拟主机上的安全性限制。在某些环境下，一个vhost配置为内部worker节点，而另一个配置为服务外部内容。远程攻击者可以利用此缺陷通过没有配置应用安全限制的外部虚拟主机注册为攻击者控制的worker节点，然后使用worker节点服务恶意内容，截获验证凭据，劫持用户会话。 0 Red Hat JBoss Enterprise Web Server for RHEL 6 1.0.2 Red Hat JBoss Enterprise Web Server for RHEL 6 1.0 Red Hat JBoss Enterprise Web Server for RHEL 5 Server 1.0.2 Red Hat JBoss Enterprise Web Server for RHEL 5 Server 1.0 Red Hat JBoss Enterprise Web Server for RHEL 4 ES 1.0.2 Red Hat JBoss Enterprise Web Server for RHEL 4 ES 1.0 Red Hat JBoss Enterprise Web Server for RHEL 4 AS 1.0.2 Red Hat JBoss Enterprise Web Server for RHEL 4 AS 1.0 Red Hat JBoss Enterprise Web Platform for RHEL 6 Server 5 Red Hat JBoss Enterprise Web Platform for RHEL 5 Server 5 Red Hat JBoss Enterprise Web Platform for RHEL 4ES 5 Red Hat JBoss Enterprise Web Platform for RHEL 4AS 5 厂商解决方案 用户可参考如下供应商提供的安全公告获得补丁信息： https://rhn.redhat.com/errata/RHSA-2012-0040.html https://rhn.redhat.com/errata/RHSA-2012-0035.html https://rhn.redhat.com/errata/RHSA-2012-0036.html https://rhn.redhat.com/errata/RHSA-2012-0037.html https://rhn.redhat.com/errata/RHSA-2012-0038.html https://rhn.redhat.com/errata/RHSA-2012-0039.html