偵測

RHEL 6:JBoss Core Services (RHSA-2017:2710)

critical Nessus Plugin ID 103241

語系:

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 6 的 JBoss Core Services 更新。Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。Red Hat JBoss Core Services 是一組適用於 Red Hat Jboss 中介軟體產品的補充軟體。此軟體 (如 Apache HTTP Server) 常用於多個 Jboss 中介軟體產品中,隨附於 Red Hat JBoss Core Services 中,能快速散發更新並提供更一致的更新體驗。此 Red Hat JBoss Core Services Apache HTTP Server 2.4.23 Service Pack 2 版本是 Red Hat JBoss Core Services Apache HTTP Server 2.4.23 Service Pack 1 的更新,其中包含錯誤修正,詳情請前往〈參照〉中的「版本資訊」連結。安全性修正:* 據發現,在處理特定與摘要式驗證相關的標頭時,httpd 的 mod_auth_digest 模組在使用記憶體前未正確初始化記憶體。遠端攻擊者可能會利用此缺陷洩漏潛在的敏感資訊,或透過傳送特製的要求給伺服器,造成 httpd 子處理程序損毀。(CVE-2017-9788) * 據發現,在 httpd 2.4 中,即使未使用驗證,內部 API 函式 ap_some_auth_required() 仍可能錯誤地指出要求已經過驗證。使用此 API 函式的 httpd 模組可能因而允許本來應拒絕的存取。(CVE-2015-3185) * 在 TLS /SSL 通訊協定使用 DES/3DES 加密的方式中發現缺陷。攔截式攻擊者可利用此缺陷,透過擷取大量 TLS/SSL 伺服器與用戶端間大量加密流量 (若通訊使用 DES/3DES 式加密套件) 的方式,取得一些純文字資料。(CVE-2016-2183) Red Hat 感謝 OpenVPN 報告 CVE-2016-2183。上游確認 Karthikeyan Bhargavan (Inria) 和 Gaetan Leurent (Inria) 為 CVE-2016-2183 的原始報告者。

解決方案

更新受影響的套件。

另請參閱

http://www.nessus.org/u?75d9eb14

https://access.redhat.com/errata/RHSA-2017:2710

https://access.redhat.com/security/cve/cve-2015-3185

https://access.redhat.com/security/cve/cve-2016-2183

https://access.redhat.com/security/cve/cve-2017-9788

Plugin 詳細資訊

嚴重性: Critical

ID: 103241

檔案名稱: redhat-RHSA-2017-2710.nasl

版本: 3.10

類型: local

代理程式: unix

已發布: 2017/9/15

已更新: 2019/10/24

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.1

CVSS v2

風險因素: Medium

基本分數: 6.4

時間分數: 4.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:P

CVSS v3

風險因素: Critical

基本分數: 9.1

時間分數: 7.9

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-debuginfo, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-devel, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-libs, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-manual, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-selinux, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-tools, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_ldap, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_proxy_html, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_session, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_ssl, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-debuginfo, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-devel, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-libs, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-perl, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-static, cpe:/o:redhat:enterprise_linux:6

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2017/9/13

弱點發布日期: 2015/7/20

參考資訊

CVE: CVE-2015-3185, CVE-2016-2183, CVE-2017-9788

RHSA: 2017:2710