JBossアプリケーションサーバに脆弱性

JBoss Application Serverの脆弱性を悪用されると、攻撃者がリモートでコンソールマネージャにアクセスし、任意のコマンドを実行できてしまう。

[ITmedia]

　オープンソースのアプリケーションサーバ「JBoss Application Server」に脆弱性が発見され、JBossが修正パッチをリリースした。

　米Symantecや仏FrSIRTのアドバイザリーによれば、JBossには、入力チェックエラーに起因する脆弱性が存在する。悪用されると、認証されていない攻撃者がリモートからコンソールマネージャにアクセスし、ディレクトリトラバーサルによってファイルの読み取り／書き込みを行ったり、アプリケーションの権限で任意のコマンドを実行できてしまう。

　FrSIRTの危険度評価は4段階で最も高い「Critical」となっている。

　影響を受けるのはJBoss Application Server（JBoss AS）3.2.4〜4.0.5と、JBoss Web Server（JBossWS）1.0.0 GA。JBossではこの問題の修正パッチを公開している。