Symantec heeft Red Hat, dat Jboss eerder inlijfde, van zijn ontdekking op de hoogte gebracht. Red Hat heeft hierop een advisory] uitgegeven, zo meldt Heise.de.

Uit de waarschuwing van de Linux-distributeur blijkt dat er een kritiek lek zit in de deploymentfilerepository-class van Jboss Application Server.

Het lek, dat voorkomt in versies 3.2.4 tot 4.0.5, kan door een aanvaller worden misbruikt om de lees- en schrijfrechten van een gebruiker te krijgen.

Systeembeheerders kunnen de risico's beperken door de toegang tot het managementconsole op poort 8080 te voorzien van een wachtwoord. Deze beveiligingsmaatregel staat niet standaard geactiveerd. Wel wordt in de documentatie beschreven hoe dit moet.

Red Hat heeft tot op heden nog geen aanvullende informatie over het nieuwe lek gegeven. Voor zover bekend is er ook nog geen ge├╝pdatete versie op de Jboss-website beschikbaar. Wel beschrijft Jboss op zijn site nog een eventuele provisorische oplossing.

Bron: Techworld