JBoss Enterprise Application Platform 安全绕过漏洞(CVE-2012-4549)

2012-12-21T00:00:00
ID SSV:60522
Type seebug
Reporter Root
Modified 2012-12-21T00:00:00

Description

Bugtraq ID:56990 CVE ID:CVE-2012-4549

JBOSS是一个基于J2EE的开放源代码的应用服务器。 在不允许任何角色调用EJB方法时,需要拒绝所有用户的调用。当允许角色列表为空时,org.jboss.as.ejb3.security.AuthorizationInterceptor中的processInvocation()方法不正确授权方法调用,允许攻击者绕过安全限制执行未授权操作。 0 JBoss Enterprise Application Platform 6 厂商解决方案

JBoss Enterprise Application Platform 6.0.1已经修复此漏洞,建议用户下载使用: http://www.jboss.com/products/platforms/application/