发布日期：2011-09-20
更新日期：2011-09-20

受影响系统：

RedHat JBoss EAP 5.x
RedHat JBoss EAP 4.x
RedHat Red Hat JBoss Enterprise Web Platform 5.x

不受影响系统：

RedHat JBoss EAP 4.3.0.CP10
RedHat JBoss EAP 4.2.0.CP09
RedHat Red Hat JBoss Enterprise Web Platform 5.1.1

描述：

---

BUGTRAQ  ID: 49654
CVE ID: CVE-2011-1483

JBoss企业应用平台（JBoss Enterprise Application Platform，EAP）是J2EE应用的中间件平台。

JBoss Enterprise Application Platform在实现上存在远程拒绝服务漏洞，远程攻击者可利用此漏洞占用大量内存和CPU资源，造成拒绝服务。

JBossWS native错误地用内置DTD防护了递归实体解析。因此攻击者通过到部署的Web服务的特制POST请求耗尽CPU资源，造成拒绝服务。

<*来源：Marc Schoenefeld （marc.schoenefeld@uni-muenster.de）
  
  链接：https://bugzilla.redhat.com/show_bug.cgi?id=692584
*>

建议：

---

厂商补丁：

RedHat
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.jboss.org/

浏览次数：2455
严重程度：0（网友投票）