Symantec findet Lücke im JBoss-Applikations-Server
Ein Fehler im JBoss Applikations Server ermöglicht Angreifern Lese- und Schreibzugriffe auf dem System. Voraussetzung ist allerdings Zugang zur Management Console auf Port 8080.
Redhat warnt in einer Sicherheitsnotiz vor einem Fehler im Applikations-Server JBoss. Offenbar hat Symantec die Rothüte auf einen kritischen Fehler in der Klasse DeploymentFileRepository der Java-Software hingewiesen, den diese nun mit einer neuen Version beheben. Über den Fehler könnte ein Angreifer Dateien mit den Rechten des JBoss-Users lesen und auch schreiben, was dazu führen könnte, dass auch fremde Programme zur Ausführung gelangen. Administratoren können das Risiko reduzieren, indem sie den Zugang zur Mangement-Console auf Port 8080 mit einem Passwort schützen, wie es zwar in der JBoss-Dokumentation beschrieben, aber nicht per Default eingerichtet wird.
Genauere Informationen liefert Red Hat nicht, bei Symantec ist bislang überhaupt nichts dazu zu finden. Auf den JBoss-Seiten steht bislang keine aktualisierte Version bereit. Eine Notiz stellt lediglich klar, dass alle JBoss AS Versionen von v3.2.4 bis v.4.0.5 betroffen sind und liefert einen Verweis auf die Fehlerdatenbank.
Siehe dazu auch:
- Critical: jbossas security update, Sicherheitsnotiz von Red Hat
- JBoss AS Security Vulnerability Notice, Notiz im JBoss-Blog
- DeploymentFileRepository can be used to write/remove arbitrary files in the filesystem, in der JBoss-Fehlerdatenbank
(ju)
