偵測

Plugin

RHEL 5：Red Hat JBoss Enterprise Application Platform 6.4.20 (RHSA-2018:1450)

critical Nessus Plugin ID 233045

語言:

概要

遠端 Red Hat 主機缺少一個或多個適用於 Red Hat JBoss Enterprise Application Platform 6.4.20 的安全性更新。

說明

遠端 Redhat Enterprise Linux 5 主機上安裝的套件受到 RHSA-2018:1450 公告中提及的多個弱點影響。

Red Hat JBoss Enterprise Application Platform 是一個以 JBoss Application Server 為基礎，並提供給 Java 應用程式使用的平台。

此 Red Hat JBoss Enterprise Application Platform 6.4.20 版本是 Red Hat JBoss Enterprise Application Platform 6.4.19 的替代版本，其中包含數個錯誤修正和增強功能，詳情請參閱〈參照〉中的「版本資訊」連結。

安全性修正：

* jackson-databind：因為不完整的封鎖清單導致不安全的還原序列化 (CVE-2017-7525 的修正不完整) (CVE-2017-15095)

* jackson-databind：因為不完整的封鎖清單導致不安全的還原序列化 (CVE-2017-15095 的修正不完整) (CVE-2017-17485)

* slf4j：EventData 建構函式中的反序列化弱點可導致任意程式碼執行 (CVE-2018-8088)

* Apache ActiveMQ Artemis：不受信任輸入的還原序列化弱點 (CVE-2016-4978)

* solr：透過索引覆寫 HTTP API 進行目錄遊走 (CVE-2017-3163)

* tomcat：在安全性條件約束中錯誤處理空白字串 URL 會導致資源意外洩露 (CVE-2018-1304)

* jackson-databind：CVE-2017-7525 的修正不完整導致可透過 c3p0 程式庫進行不安全的序列化 (CVE-2018-7489)

如需安全性問題的詳細資料，包括影響、CVSS 分數及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

Red Hat 感謝 Liao Xinxi (NSFOCUS) 報告 CVE-2017-15095；0c0c0f (來自 360) 報告 CVE-2017-17485；以及 Chris McCown 報告 CVE-2018-8088。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

根據 RHSA-2018:1450 中的指引更新 RHEL Red Hat JBoss Enterprise Application Platform 6.4.20 套件。

另請參閱

https://access.redhat.com/security/updates/classification/#important

http://www.nessus.org/u?7ef4c395

https://bugzilla.redhat.com/show_bug.cgi?id=1379207

https://bugzilla.redhat.com/show_bug.cgi?id=1454783

https://bugzilla.redhat.com/show_bug.cgi?id=1506612

https://bugzilla.redhat.com/show_bug.cgi?id=1528565

https://bugzilla.redhat.com/show_bug.cgi?id=1548289

https://bugzilla.redhat.com/show_bug.cgi?id=1548909

https://bugzilla.redhat.com/show_bug.cgi?id=1549276

https://bugzilla.redhat.com/show_bug.cgi?id=1559009

https://bugzilla.redhat.com/show_bug.cgi?id=1559012

https://bugzilla.redhat.com/show_bug.cgi?id=1559017

http://www.nessus.org/u?dd9b3894

https://access.redhat.com/errata/RHSA-2018:1450

Plugin 詳細資訊

嚴重性: Critical

ID: 233045

檔案名稱: redhat-RHSA-2018-1450.nasl

版本: 1.1

類型: local

代理程式: unix

系列: Red Hat Local Security Checks

已發布: 2025/3/20

已更新: 2025/3/20

支援的感應器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

Vendor

Vendor Severity: Important

CVSS v2

風險因素: High

基本分數: 7.5

時間性分數: 5.9

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2018-8088

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 8.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-http, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsr77, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-management, p-cpe:/a:redhat:enterprise_linux:jboss-as-host-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-logging, p-cpe:/a:redhat:enterprise_linux:jboss-as-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-as-weld, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller-client, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxr, cpe:/o:redhat:enterprise_linux:5, p-cpe:/a:redhat:enterprise_linux:jboss-as-security, p-cpe:/a:redhat:enterprise_linux:jboss-as-pojo, p-cpe:/a:redhat:enterprise_linux:jbossas-product-eap, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-repository, p-cpe:/a:redhat:enterprise_linux:jboss-as-client-all, p-cpe:/a:redhat:enterprise_linux:jboss-as-jacorb, p-cpe:/a:redhat:enterprise_linux:jboss-as-server, p-cpe:/a:redhat:enterprise_linux:jboss-as-picketlink, p-cpe:/a:redhat:enterprise_linux:hornetq, p-cpe:/a:redhat:enterprise_linux:jbossas-appclient, p-cpe:/a:redhat:enterprise_linux:jboss-as-cmp, p-cpe:/a:redhat:enterprise_linux:lucene-solr, p-cpe:/a:redhat:enterprise_linux:jboss-as-platform-mbean, p-cpe:/a:redhat:enterprise_linux:jboss-as-appclient, p-cpe:/a:redhat:enterprise_linux:jboss-as-network, p-cpe:/a:redhat:enterprise_linux:jboss-as-embedded, p-cpe:/a:redhat:enterprise_linux:jbossas-javadocs, p-cpe:/a:redhat:enterprise_linux:jboss-as-naming, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jboss-as-webservices, p-cpe:/a:redhat:enterprise_linux:picketbox, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-service, p-cpe:/a:redhat:enterprise_linux:jboss-as-management-client-content, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxrs, p-cpe:/a:redhat:enterprise_linux:codehaus-jackson-core-asl, p-cpe:/a:redhat:enterprise_linux:jboss-as-jdr, p-cpe:/a:redhat:enterprise_linux:jbossas-modules-eap, p-cpe:/a:redhat:enterprise_linux:jboss-as-process-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-ejb3, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-scanner, p-cpe:/a:redhat:enterprise_linux:codehaus-jackson-jaxrs, p-cpe:/a:redhat:enterprise_linux:jbossas-standalone, p-cpe:/a:redhat:enterprise_linux:jboss-as-core-security, p-cpe:/a:redhat:enterprise_linux:jboss-as-jmx, p-cpe:/a:redhat:enterprise_linux:jboss-as-clustering, p-cpe:/a:redhat:enterprise_linux:jboss-as-jpa, p-cpe:/a:redhat:enterprise_linux:jboss-as-system-jmx, p-cpe:/a:redhat:enterprise_linux:jboss-as-version, p-cpe:/a:redhat:enterprise_linux:jboss-as-cli, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-configadmin, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsf, p-cpe:/a:redhat:enterprise_linux:codehaus-jackson, p-cpe:/a:redhat:enterprise_linux:jboss-as-mail, p-cpe:/a:redhat:enterprise_linux:jbossas-core, p-cpe:/a:redhat:enterprise_linux:jboss-as-xts, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:jboss-as-remoting, p-cpe:/a:redhat:enterprise_linux:jbossas-welcome-content-eap, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller, p-cpe:/a:redhat:enterprise_linux:jbossas-bundles, p-cpe:/a:redhat:enterprise_linux:codehaus-jackson-xc, p-cpe:/a:redhat:enterprise_linux:codehaus-jackson-mapper-asl, p-cpe:/a:redhat:enterprise_linux:jboss-as-transactions, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi, p-cpe:/a:redhat:enterprise_linux:jbossas-domain, p-cpe:/a:redhat:enterprise_linux:jboss-as-web, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee-deployment, p-cpe:/a:redhat:enterprise_linux:jboss-as-configadmin, p-cpe:/a:redhat:enterprise_linux:jboss-as-connector, p-cpe:/a:redhat:enterprise_linux:jboss-as-protocol, p-cpe:/a:redhat:enterprise_linux:jboss-as-sar, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee, p-cpe:/a:redhat:enterprise_linux:jboss-as-modcluster, p-cpe:/a:redhat:enterprise_linux:jboss-as-threads

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2018/5/14

弱點發布日期: 2016/9/23

參考資訊

CVE: CVE-2016-4978, CVE-2017-15095, CVE-2017-17485, CVE-2017-3163, CVE-2017-7525, CVE-2018-1304, CVE-2018-7489, CVE-2018-8088

CWE: 184, 20, 22, 284, 502

RHSA: 2018:1450