红帽JBoss Web服务器是一组完全集成并经过认证的组件,用于托管Java Web应用程序。它由Apache Tomcat Servlet容器,JBoss HTTP连接器(mod_cluster),Apache Tomcat的Picketlink Vault扩展以及Tomcat本机库组成。
4月14日,RedHat(红帽)发布了安全更新,修复了JBoss Web服务器中发现的CA证书验证等重要漏洞。以下是漏洞详情:
漏洞详情
来源:https://access.redhat.com/errata/RHSA-2021:1203
CVE-2021-3450 CVSS评分:7.4 严重程度:高
在openssl中存在一个漏洞。没有启用用于对证书链中存在的证书进行其他安全检查的标志,从而允许绕过确认步骤以验证链中的证书是否为有效的CA证书。此漏洞带来的最大威胁是对数据机密性和完整性的威胁。
受影响产品和版本
JBoss Enterprise Web Server Text-only Advisories x86_64
解决方案
Redhat已发布安全更新,现在有适用于RHEL 7和Windows的Red Hat JBoss Web Server 3.1的更新。请参阅:
https://access.redhat.com/security/updates/classification/#important
查看更多漏洞信息 以及升级请访问官网:
https://access.redhat.com/security/security-updates/#/security-advisories
