JBoss HSQLDB远程命令注入漏洞
发布日期:2003-10-06
更新日期:2003-10-15
受影响系统:JBoss Group JBoss 3.2.1
JBoss Group JBoss 3.0.8
描述:
BUGTRAQ ID:
8773
JBoss J2EE是Java应用服务程序。
JBoss可以通过HSQLDB组件远程注入任意命令,远程攻击者可以利用这个漏洞控制整个系统。
命令注入漏洞存在与JBoss服务器组件HSQLDB(管理JMS连接的SQL数据库)中,在sun.*类中存在程序设计错误和org.apache.*类中存在逻辑错误,远程攻击者可以通过构建恶意SQL命令提交给服务程序,更改原系统SQL逻辑,以Java进程权限在系统上执行任意命令。
另外JBoss服务器还存在拒绝服务、日志可操作、信息泄露等多个漏洞。
<*来源:Marc Schoenefeld (
marc.schoenefeld@uni-muenster.de)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=106546044416498&w=2
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 更改配置文件中如下行:
<!-- for tcp connection, other processes may use hsqldb -->
<connection-url>
jdbc:hsqldb:hsql://localhost:1701
</connection-url>
为:
<!-- for in-process db with file store, saved when jboss
stops. The org.jboss.jdbc.HypersonicDatabase is unnecessary -->
然后, 删除或注释如下段:
<!-- this mbean should be used only when using tcp connections -->
<mbean code="org.jboss.jdbc.HypersonicDatabase"
name="jboss:service=Hypersonic">
<attribute name="Port">1701</attribute>
<attribute name="Silent">true</attribute>
<attribute name="Database">default</attribute>
<attribute name="Trace">false</attribute>
<attribute name="No_system_exit">true</attribute>
</mbean>
厂商补丁:
JBoss Group
-----------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.jboss.org/浏览次数:3043
严重程度:0(网友投票)