Jboss-as-clustering
Уязвимости
108
Эксплуатируемые
2
Макс. CVSS
9.8
Макс. EPSS
0.99988
Распределение по критичности
Критический
2
Высокий
29
Средний
56
Низкий
21
Также сопоставлено как (исходные строки): jboss-as-clustering
Топ уязвимостей
CVE-2016-2141Обнаружено, что JGroups не требует необходимых заголовков для протоколов шифрования и аутентификации от новых узлов, присоединяющихся к кластеру. Злоумышленник может использовать эту ошибку для обхода ограничений безопасности и использовать эту уязвимость для отправки и получения сообщений внутри кластера, что приведет к раскрытию информации, подделке сообщений или дальнейшим возможным атакам.
CVE-2015-7501Red Hat JBoss A-MQ 6.x; BPM Suite (BPMS) 6.x; BRMS 6.x и 5.x; Data Grid (JDG) 6.x; Data Virtualization (JDV) 6.x и 5.x; Enterprise Application Platform 6.x, 5.x и 4.3.x; Fuse 6.x; Fuse Service Works (FSW) 6.x; Operations Network (JBoss ON) 3.x; Portal 6.x; SOA Platform (SOA-P) 5.x; Web Server (JWS) 3.x; Red Hat OpenShift/xPAAS 3.x; и Red Hat Subscription Asset Manager 1.3 позволяют удаленным злоумышленникам выполнять произвольные команды через специально созданный сериализованный объект Java, связанный с библиотекой Apache Commons Collections (ACC).
CVE-2022-23307CVE-2020-9493 выявила проблему десериализации, которая присутствовала в Apache Chainsaw. До Chainsaw V2.0 Chainsaw был компонентом Apache Log4j 1.2.x, где существует та же проблема.
CVE-2022-23305По замыслу, JDBCAppender в Log4j 1.2.x принимает оператор SQL в качестве параметра конфигурации, где значения для вставки являются преобразователями из PatternLayout. Конвертер сообщений, %m, скорее всего, всегда будет включен. Это позволяет злоумышленникам манипулировать SQL, вводя специально созданные строки в поля ввода или заголовки приложения, которые регистрируются, что позволяет выполнять непредусмотренные SQL-запросы. Обратите внимание, что эта проблема затрагивает только Log4j 1.x, когда он специально настроен для использования JDBCAppender, что не является значением по умолчанию. Начиная с версии 2.0-beta8, JDBCAppender был повторно представлен с надлежащей поддержкой параметризованных SQL-запросов и дальнейшей настройкой столбцов, записываемых в журналы. Поддержка Apache Log4j 1.2 закончилась в августе 2015 года. Пользователям следует перейти на Log4j 2, поскольку он решает многочисленные другие проблемы предыдущих версий.
CVE-2022-23302JMSSink во всех версиях Log4j 1.x уязвим для десериализации ненадежных данных, когда злоумышленник имеет доступ на запись к конфигурации Log4j или если конфигурация ссылается на службу LDAP, к которой злоумышленник имеет доступ. Злоумышленник может предоставить конфигурацию TopicConnectionFactoryBindingName, в результате чего JMSSink выполнит JNDI-запросы, которые приведут к удаленному выполнению кода аналогично CVE-2021-4104. Обратите внимание, что эта проблема затрагивает только Log4j 1.x, если он специально настроен для использования JMSSink, что не является значением по умолчанию. Поддержка Apache Log4j 1.2 закончилась в августе 2015 года. Пользователям следует перейти на Log4j 2, поскольку он решает многочисленные другие проблемы предыдущих версий.
CVE-2018-8088org.slf4j.ext.EventData в модуле slf4j-ext в QOS.CH SLF4J до версии 1.8.0-beta2 позволяет удаленным злоумышленникам обходить предполагаемые ограничения доступа через специально созданные данные. EventData в модуле slf4j-ext в QOS.CH SLF4J был исправлен в SLF4J версий 1.7.26 и более поздних, а также в серии 2.0.x.
CVE-2018-7489FasterXML jackson-databind версий до 2.7.9.3, 2.8.x до 2.8.11.1 и 2.9.x до 2.9.5 допускает неаутентифицированное удаленное выполнение кода из-за неполного исправления недостатка десериализации CVE-2017-7525. Это можно использовать, отправляя вредоносный JSON-ввод в метод readValue ObjectMapper, обходя черный список, который неэффективен, если библиотеки c3p0 доступны в classpath.
CVE-2017-7525В jackson-databind, версиях до 2.6.7.1, 2.7.9.1 и 2.8.9, обнаружена уязвимость десериализации, которая может позволить неаутентифицированному пользователю выполнить код, отправив вредоносный ввод в метод readValue объекта ObjectMapper.
CVE-2017-5645В Apache Log4j 2.x до 2.8.2, при использовании TCP-сокета или UDP-сокета для получения сериализованных событий журнала из другого приложения, можно отправить специально созданную двоичную полезную нагрузку, которая при десериализации может выполнить произвольный код.
CVE-2017-17485FasterXML jackson-databind до версий 2.8.10 и 2.9.x до 2.9.3 позволяет неаутентифицированному удаленному выполнению кода из-за неполного исправления недостатка десериализации CVE-2017-7525. Это можно использовать, отправив вредоносный JSON-ввод в метод readValue ObjectMapper, обойдя черный список, который неэффективен, если библиотеки Spring доступны в classpath.
CVE-2017-15095Недостаток десериализации был обнаружен в jackson-databind в версиях до 2.8.10 и 2.9.1, что могло позволить неаутентифицированному пользователю выполнить код, отправив вредоносный ввод в метод readValue ObjectMapper. Эта проблема расширяет предыдущий недостаток CVE-2017-7525 путем добавления в черный список большего количества классов, которые можно использовать злонамеренно.
CVE-2017-12617При работе Apache Tomcat версий 9.0.0.M1 - 9.0.0, 8.5.0 - 8.5.22, 8.0.0.RC1 - 8.0.46 и 7.0.0 - 7.0.81 с включенными HTTP PUT (например, путем установки для параметра readonly initialisation сервлета Default значения false), можно было загрузить JSP-файл на сервер с помощью специально созданного запроса. Затем этот JSP можно было запросить, и любой код, содержащийся в нем, выполнялся бы сервером.
CVE-2016-9606JBoss RESTEasy до версии 3.1.2 может быть принудительно проанализирован запрос с YamlProvider, что приведет к демаршализации потенциально ненадежных данных, что может позволить злоумышленнику выполнить произвольный код с разрешениями приложения RESTEasy.
CVE-2016-8657Было обнаружено, что пакеты EAP в определенных версиях Red Hat Enterprise Linux используют неправильные разрешения для файлов конфигурации /etc/sysconfig/jbossas. Файл доступен для записи группе jboss (root:jboss, 664). В системах, использующих классические скрипты инициализации /etc/init.d (т. е. в Red Hat Enterprise Linux 6 и более ранних версиях), файл используется скриптом инициализации jboss, и его содержимое выполняется с привилегиями root при запуске, остановке или перезапуске службы jboss.
CVE-2015-5220Веб-консоль в Red Hat Enterprise Application Platform (EAP) до версии 6.4.4 и WildFly (ранее JBoss Application Server) позволяет удаленным злоумышленникам вызвать отказ в обслуживании (потребление памяти) через большой заголовок запроса.
CVE-2012-5575Apache CXF 2.5.x до версии 2.5.10, 2.6.x до CXF 2.6.7 и 2.7.x до CXF 2.7.4 не проверяет, разрешен ли указанный криптографический алгоритм определением WS-SecurityPolicy AlgorithmSuite перед расшифровкой, что позволяет удаленным злоумышленникам заставлять CXF использовать более слабые криптографические алгоритмы, чем предполагалось, и облегчает расшифровку сообщений, также известную как "атака обратной совместимости шифрования XML".
CVE-2017-2595Было обнаружено, что средство просмотра файлов журналов в Red Hat JBoss Enterprise Application 6 и 7 позволяет аутентифицированному пользователю читать произвольные файлы через обход пути.
CVE-2020-1938При использовании протокола Apache JServ (AJP) необходимо проявлять осторожность при доверии входящим соединениям к Apache Tomcat. Tomcat рассматривает AJP соединения как имеющие большую степень доверия, чем, например, аналогичные HTTP соединения. Если такие соединения доступны злоумышленнику, их можно эксплуатировать неожиданными способами. В Apache Tomcat версий 9.0.0.M1 до 9.0.0.30, 8.5.0 до 8.5.50 и 7.0.0 до 7.0.99, Tomcat был поставлен с включенным соединителем AJP по умолчанию, который прослушивал все настроенные IP-адреса. Ожидалось (и рекомендовалось в руководстве по безопасности), что этот соединитель будет отключен, если он не требуется. Этот отчет об уязвимости выявил механизм, который позволял: - возвращать произвольные файлы из любого места в веб-приложении - обрабатывать любые файлы веб-приложения как JSP Более того, если веб-приложение позволяло загрузку файлов и сохраняло эти файлы внутри веб-приложения (или злоумышленник мог контролировать содержимое веб-приложения каким-либо другим способом), то это, вместе с возможностью обрабатывать файл как JSP, делало возможным удаленное выполнение кода. Важно отметить, что смягчения необходимы только в том случае, если порт AJP доступен для ненадежных пользователей. Пользователи, желающие применять подход защитной глубины и блокировать вектор, который позволяет возвращать произвольные файлы и выполнять их как JSP, могут обновиться до Apache Tomcat 9.0.31, 8.5.51 или 7.0.100 или более поздней версии. В версии 9.0.31 было внесено множество изменений в конфигурацию соединителя AJP по умолчанию для повышения защищенности. Вероятно, пользователям, обновляющимся до 9.0.31, 8.5.51 или 7.0.100 или более поздней версии, потребуется внести небольшие изменения в свои конфигурации.
CVE-2015-0254Apache Standard Taglibs до версии 1.2.3 позволяет удаленным злоумышленникам выполнять произвольный код или проводить атаки External XML Entity (XXE) через специально созданное XSLT-расширение в теге JSTL XML (1) <x:parse> или (2) <x:transform>.
CVE-2021-4104JMSAppender в Log4j 1.2 уязвим для десериализации ненадежных данных, когда злоумышленник имеет доступ на запись к конфигурации Log4j. Злоумышленник может предоставить конфигурации TopicBindingName и TopicConnectionFactoryBindingName, заставляя JMSAppender выполнять JNDI-запросы, которые приводят к удаленному выполнению кода аналогично CVE-2021-44228. Обратите внимание, что эта проблема затрагивает только Log4j 1.2, когда он специально настроен на использование JMSAppender, что не является настройкой по умолчанию. Поддержка Apache Log4j 1.2 закончилась в августе 2015 года. Пользователям следует обновить Log4j 2, поскольку он решает множество других проблем из предыдущих версий.
CVE-2020-14384В JBossWeb в версиях до 7.5.31.Final-redhat-3 обнаружена ошибка. Исправление для CVE-2020-13935 было неполным в JBossWeb, что делает его уязвимым для атаки типа "отказ в обслуживании" при отправке нескольких запросов с недопустимой длиной полезной нагрузки в кадре WebSocket. Наибольшую угрозу эта уязвимость представляет для доступности системы.
CVE-2020-13935Длина полезной нагрузки во фрейме WebSocket была неправильно проверена в Apache Tomcat 10.0.0-M1 - 10.0.0-M6, 9.0.0.M1 - 9.0.36, 8.5.0 - 8.5.56 и 7.0.27 - 7.0.104. Недопустимая длина полезной нагрузки могла вызвать бесконечный цикл. Несколько запросов с недопустимой длиной полезной нагрузки могли привести к отказу в обслуживании.
CVE-2018-1336Неправильная обработка переполнения в декодере UTF-8 с дополнительными символами может привести к бесконечному циклу в декодере, вызывающему отказ в обслуживании. Затронутые версии: Apache Tomcat 9.0.0.M9 - 9.0.7, 8.5.0 - 8.5.30, 8.0.0.RC1 - 8.0.51 и 7.0.28 - 7.0.86.
CVE-2017-6056Было обнаружено, что ошибка программирования при обработке HTTPS-запросов в сервлете Apache Tomcat и JSP-движке может привести к отказу в обслуживании из-за бесконечного цикла. Отказ в обслуживании легко достижим вследствие переноса исправления CVE-2016-6816, но не переноса исправления для ошибки Tomcat 57544. Дистрибутивы, затронутые этой проблемой переноса, включают Debian (до 7.0.56-3+deb8u8 и 8.0.14-1+deb8u7 в jessie) и Ubuntu.
CVE-2017-5664Механизм страниц ошибок спецификации Java Servlet требует, чтобы при возникновении ошибки и настройке страницы ошибки для произошедшей ошибки исходный запрос и ответ перенаправлялись на страницу ошибки. Это означает, что запрос представляется странице ошибки с исходным HTTP-методом. Если страница ошибки является статическим файлом, ожидаемым поведением является обслуживание содержимого файла, как если бы обрабатывался запрос GET, независимо от фактического HTTP-метода. Default Servlet в Apache Tomcat 9.0.0.M1 - 9.0.0.M20, 8.5.0 - 8.5.14, 8.0.0.RC1 - 8.0.43 и 7.0.0 - 7.0.77 этого не делал. В зависимости от исходного запроса это могло привести к неожиданным и нежелательным результатам для статических страниц ошибок, включая, если DefaultServlet настроен на разрешение записи, замену или удаление пользовательской страницы ошибки. Примечания для других пользовательских страниц ошибок: (1) Если явно не указано иное, JSP игнорируют HTTP-метод. JSP, используемые в качестве страниц ошибок, должны обеспечивать обработку любой отправки ошибок как GET-запроса, независимо от фактического метода. (2) По умолчанию ответ, сгенерированный Servlet, зависит от HTTP-метода. Пользовательские Servlet, используемые в качестве страниц ошибок, должны обеспечивать обработку любой отправки ошибок как GET-запроса, независимо от фактического метода.