Security Lab

Удаленное выполнение произвольных команд в JBoss Java server

Дата публикации:09.10.2003
Дата изменения:17.10.2006
Всего просмотров:2537
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:

Уязвимые версии: JBoss Java Server 3.2.1

Описание: Уязвимость обнаружена в JBoss Java server. Удаленный пользователь может выполнить произвольные команды на целевой системе.

Удаленный пользователь может подключиться к целевой Jboss на 1701 tcp порту и послать специально сформированное SQL выражение, чтобы выполнить произвольный код с привилегиями процесса Jboss. Удаленный пользователь может также вызвать отказ в обслуживании, внедряя сообщения в файл регистрации и получая информацию из целевой системы.

Основная проблема расположена в hsqldb службе. Если не были изменены имя пользователя и пароль по умолчанию, то удаленный пользователь может получить доступ к службе и эксплуатировать различные программные ошибки в sun.* классах и различные логические ошибки в org.apache.* классах, чтобы атаковать целевую систему.

URL производителя:

Решение:

Установите обновленную версию программы: http://sourceforge.net/docman/display_doc.php?docid=19314&group_id=22866
Ссылки: JBoss 3.2.1: Remote Command Injection