偵測

RHEL 5 / 6:JBoss Enterprise Web Platform 5.2.0 (RHSA-2013:0874)

medium Nessus Plugin ID 210215

語言:

概要

遠端 Red Hat 主機缺少 JBoss Enterprise Web Platform 5.2.0 的安全性更新。

說明

遠端 Redhat Enterprise Linux 5 / 6 主機上安裝的套件受到 RHSA-2013:0874 公告中提及的弱點影響。

 Enterprise Web Platform 是 JBoss Enterprise Application Platform 的精簡設定檔,適用於具有輕量和豐富 Java 應用程式的中型工作負載。

 在多種架構中發現 XML 加密回溯相容性攻擊,其中包括 Apache CXF。即使已在端點上啟用安全密碼系統,攻擊者還是可強制伺服器使用不安全的舊式密碼系統。強制使用舊式密碼系統時,將會暴露 CVE-2011-1096 和 CVE-2011-2487 之類的瑕疵,這些瑕疵允許從密碼系統和對稱金鑰復原純文字。此問題同時影響 JBoss Web Services CXF (jbossws-cxf) 和 JBoss Web Services Native (jbossws-native) 堆疊。(CVE-2012-5575)

 Red Hat 要感謝 Ruhr-University Bochum 的 Tibor Jager、Kenneth G. Paterson 和 Juraj Somorovsky 報告此問題。

 如果您正在使用 jbossws-cxf,則只有在使用 WS-SecurityPolicy 強制執行安全性需求時,才會執行防止此瑕疵的自動檢查。最佳做法是使用 WS-SecurityPolicy 強制執行安全需求。

 如果您正在使用 jbossws-native,「encryption」元素中的兩個新組態參數便會實作此瑕疵的修正。此元素可能是用戶端和伺服器 wsse 組態描述符號 (透過應用程式之 jboss-wsse-server.xml 和 jboss-wsse-client.xml 檔案,設定以每個應用程式為基礎) 中的子「需求」。新屬性為「algorithms」和「keyWrapAlgorithms」。這些屬性應包含一個以空白或逗號分隔的演算法 ID 清單,這些 ID 允許存取加密的傳入訊息,同時適用於加密和私密金鑰包裝。為了回溯相容性,依預設不會針對空白清單或遺漏的屬性執行任何演算法檢查。

 例如 (請勿將分行符號納入組態中):

 encryption algorithms=aes-192-gcm aes-256-gcm keyWrapAlgorithms=rsa_oaep

 請指定傳入訊息必須經過加密,並且只允許 GCM 模式中的 AES-192 和 256 加密演算法,而 RSA-OAEP 僅適用於金鑰包裝。

 在執行任何解密之前,jbossws-native 堆疊會先驗證傳入訊息指定的每個演算法是否已納入這些新加密元素屬性所允許的演算法清單中。用於「algorithms」和「keyWrapAlgorithms」的演算法值與「encrypt」元素之「algorithm」和「keyWrapAlgorithm」的演算法值相同。

 警告:套用此更新之前,請先備份現有的 JBoss Enterprise Web Platform 安裝 (包括所有應用程式和設定檔)。

 建議在 Red Hat Enterprise Linux 4、5 和 6 上的所有 JBoss Enterprise Web Platform 5.2.0 使用者皆升級至這些更新版套件。必須重新啟動 JBoss 伺服器處理程序,此更新才會生效。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

根據 RHSA-2013:0874 中的指南更新 RHEL JBoss Enterprise Web Platform 5.2.0 套件。

另請參閱

https://access.redhat.com/security/updates/classification/#important

http://ws.apache.org/wss4j/best_practice.html

http://cxf.apache.org/cve-2012-5575.html

https://bugzilla.redhat.com/show_bug.cgi?id=880443

http://www.nessus.org/u?1e28cbbd

https://access.redhat.com/errata/RHSA-2013:0874

Plugin 詳細資訊

嚴重性: Medium

ID: 210215

檔案名稱: redhat-RHSA-2013-0874.nasl

版本: 1.1

類型: local

代理程式: unix

已發布: 2024/11/4

已更新: 2024/11/4

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Low

分數: 2.5

Vendor

Vendor Severity: Important

CVSS v2

風險因素: Medium

基本分數: 6.4

時間性分數: 4.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS 評分資料來源: CVE-2012-5575

CVSS v3

風險因素: Medium

基本分數: 6.5

時間性分數: 5.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:wss4j, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:jbossws, p-cpe:/a:redhat:enterprise_linux:apache-cxf

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/5/28

弱點發布日期: 2012/11/26

參考資訊

CVE: CVE-2012-5575

CWE: 327

RHSA: 2013:0874