JBoss遍历漏洞

JBoss应用服务器DeploymentFileRepository类目录遍历漏洞

影响版本:
jboss Application Server 4.0.4

程序介绍:
Jboss是非常流行的开源J2EE应用服务器。

漏洞分析:

JBoss应用服务器的DeploymentFileRepository类没有正确地过滤用户提供输入，通过认证的远程用户可以通过向默认监听于8080端口上的控制台管理器提交恶意请求执行目录遍历攻击，导致读取、删除、覆盖或修改任意文件，最终可以在系统上执行任意命令。

漏洞利用:

http://www.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/multi/http/jb

解决方案:
厂商补丁：
RedHat
------
RedHat已经为此发布了一个安全公告（RHSA-2006:0743-01）以及相应补丁:
RHSA-2006:0743-01：Critical: jbossas security update