Удаленное выполнение произвольных команд в JBoss Java server
| Дата публикации: | 09.10.2003 |
| Дата изменения: | 17.10.2006 |
| Всего просмотров: | 2557 |
| Опасность: | Высокая |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
Уязвимые версии: JBoss Java Server 3.2.1 Описание: Уязвимость обнаружена в JBoss Java server. Удаленный пользователь может выполнить произвольные команды на целевой системе. Удаленный пользователь может подключиться к целевой Jboss на 1701 tcp порту и послать специально сформированное SQL выражение, чтобы выполнить произвольный код с привилегиями процесса Jboss. Удаленный пользователь может также вызвать отказ в обслуживании, внедряя сообщения в файл регистрации и получая информацию из целевой системы. Основная проблема расположена в hsqldb службе. Если не были изменены имя пользователя и пароль по умолчанию, то удаленный пользователь может получить доступ к службе и эксплуатировать различные программные ошибки в sun.* классах и различные логические ошибки в org.apache.* классах, чтобы атаковать целевую систему. Решение: Установите обновленную версию программы: http://sourceforge.net/docman/display_doc.php?docid=19314&group_id=22866 |
|
| Ссылки: | JBoss 3.2.1: Remote Command Injection |