发布日期：2010-05-17
更新日期：2010-05-18

受影响系统：

SpringSource tc Server 6.0.25.A
SpringSource tc Server 6.0.20.C
SpringSource tc Server 6.0.20.B
SpringSource tc Server 6.0.20.A
SpringSource tc Server 6.0.19.A

不受影响系统：

SpringSource tc Server 6.0.25.A-SR01
SpringSource tc Server 6.0.20.D

描述：

---

BUGTRAQ  ID: 40205
CVE ID: CVE-2010-1454

SpringSource tc Server是一款轻型的应用服务器。

SpringSource tc Server的com.springsource.tcserver.serviceability.rmi.JmxSocketListener中存在安全漏洞。如果将监听程序配置为使用加密口令（也就是口令以s2enc://开始），则输入正确的口令或空字符串都可以认证到JMX接口。

默认下不可远程访问JMX接口，但可在地址属性中设置为允许远程访问。

<*来源：Erhan Baz at Yapi Kredi
  
  链接：http://marc.info/?l=bugtraq&m=127412702918273&w=2
        http://secunia.com/advisories/39778/
*>

建议：

---

厂商补丁：

SpringSource
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.springsource.com/

浏览次数：2332
严重程度：0（网友投票）