发布日期：2019-07-02
更新日期：2019-07-02

受影响系统：

RedHat JBoss Enterprise Application Platform (for RHEL 8) 7.2
RedHat JBoss Enterprise Application Platform (for RHEL 7) 7.2
RedHat JBoss Enterprise Application Platform (for RHEL 6) 7.2
RedHat Virtualization
RedHat Undertow 2.0.20
RedHat Undertow 2.0.19
RedHat Undertow 2.0.18
RedHat Undertow 2.0.17
RedHat Undertow 2.0.16
RedHat Undertow 2.0.10
RedHat Undertow 1.4.27
RedHat Undertow 1.4.26
RedHat Undertow 1.4.0
RedHat Undertow 1.3.25
RedHat Undertow 1.0.16
RedHat Single Sign-On Text-Only Advisories

不受影响系统：

RedHat Undertow 2.0.21

描述：

---

BUGTRAQ  ID: 108739
CVE(CAN) ID: CVE-2019-3888

Undertow 是一个采用Java 开发的灵活的高性能Web 服务器，提供包括阻塞和基于NIO 的非堵塞机制。Undertow 是红帽公司的开源产品，是Wildfly 默认的Web 服务器。

在2.0.21之前的Undertow Web服务器中发现了一个漏洞。通过日志文件显示纯文本凭据的信息，因为Connectors.executeRootHandler：402使用UndertowLogger.REQUEST_LOGGER.undertowRequestFailed（t，exchange）将HttpServerExchange对象记录在ERROR级别

成功利用此问题可能允许攻击者获取可能有助于进一步攻击的敏感信息。

<**>

建议：

---

厂商补丁：

RedHat
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

https://rhn.redhat.com/errata/

浏览次数：1147
严重程度：0（网友投票）