製品・ソフトウェアに関する情報
Vulnerability Search
JBoss Application Server の JMX Console における権限を取得される脆弱性
Title JBoss Application Server の JMX Console における権限を取得される脆弱性
Summary

JBoss Application Server の JMX Console の Access Control 機能 (JMXOpsAccessControlFilter) には、カレントユーザのロールを格納するため member 変数を使用するため、競合状態を誘発される、および権限を取得される脆弱性が存在します。

Possible impacts 第三者により、多くの権限を持つ管理者によってセッション中にログを取得されることで、競合状態を誘発される、および権限を取得される可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date April 16, 2007, midnight
Registration Date Sept. 25, 2012, 4:47 p.m.
Last Update Sept. 25, 2012, 4:47 p.m.
CVSS2.0 : 警告
Score 6
Vector AV:N/AC:M/Au:S/C:P/I:P/A:P
Affected System
レッドハット
JBoss Application Server 20070416 未満の 4.0.5
JBoss Application Server 4.0.2
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2012年09月25日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2007-1354
Summary

The Access Control functionality (JMXOpsAccessControlFilter) in JMX Console in JBoss Application Server 4.0.2 and 4.0.5 before 20070416 uses a member variable to store the roles of the current user, which allows remote authenticated administrators to trigger a race condition and gain privileges by logging in during a session by a more privileged administrator, as demonstrated by privilege escalation from Read Mode to Write Mode.

Publication Date July 28, 2007, 6:30 a.m.
Registration Date Jan. 29, 2021, 2:08 p.m.
Last Update Nov. 13, 2008, 3:34 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:jboss:jboss_application_server:4.0.2.ga_cp02:*:*:*:*:*:*:*
cpe:2.3:a:jboss:jboss_application_server:4.0.2.ga_cp03:*:*:*:*:*:*:*
cpe:2.3:a:jboss:jboss_application_server:4.0.2.ga_cp04:*:*:*:*:*:*:*
cpe:2.3:a:jboss:jboss_application_server:4.0.5.ga:*:*:*:*:*:*:*
cpe:2.3:a:jboss:jboss_application_server:4.0.5_cp01:*:*:*:*:*:*:*
cpe:2.3:a:jboss:jboss_application_server:4.0.5_cp02:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List