安全研究

安全漏洞
JBoss HSQLDB远程命令注入漏洞

发布日期:2003-10-06
更新日期:2003-10-15

受影响系统:
JBoss Group JBoss 3.2.1
JBoss Group JBoss 3.0.8
描述:
BUGTRAQ  ID: 8773

JBoss J2EE是Java应用服务程序。

JBoss可以通过HSQLDB组件远程注入任意命令,远程攻击者可以利用这个漏洞控制整个系统。

命令注入漏洞存在与JBoss服务器组件HSQLDB(管理JMS连接的SQL数据库)中,在sun.*类中存在程序设计错误和org.apache.*类中存在逻辑错误,远程攻击者可以通过构建恶意SQL命令提交给服务程序,更改原系统SQL逻辑,以Java进程权限在系统上执行任意命令。

另外JBoss服务器还存在拒绝服务、日志可操作、信息泄露等多个漏洞。

<*来源:Marc Schoenefeld (marc.schoenefeld@uni-muenster.de
  
  链接:http://marc.theaimsgroup.com/?l=bugtraq&m=106546044416498&w=2
*>

建议:
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 更改配置文件中如下行:

<!-- for tcp connection, other processes may use hsqldb -->
<connection-url>
jdbc:hsqldb:hsql://localhost:1701
</connection-url>

为:

<!-- for in-process db with file store, saved when jboss
stops. The org.jboss.jdbc.HypersonicDatabase is unnecessary -->

然后, 删除或注释如下段:

<!-- this mbean should be used only when using tcp connections -->
<mbean code="org.jboss.jdbc.HypersonicDatabase"
name="jboss:service=Hypersonic">
<attribute name="Port">1701</attribute>
<attribute name="Silent">true</attribute>
<attribute name="Database">default</attribute>
<attribute name="Trace">false</attribute>
<attribute name="No_system_exit">true</attribute>
</mbean>

厂商补丁:

JBoss Group
-----------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.jboss.org/

浏览次数:3043
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障