RHEL 5:Red Hat JBoss Enterprise Application Platform 6.4.20 (RHSA-2018:1450)

critical Nessus Plugin ID 233045

概要

遠端 Red Hat 主機缺少一個或多個適用於 Red Hat JBoss Enterprise Application Platform 6.4.20 的安全性更新。

說明

遠端 Redhat Enterprise Linux 5 主機上安裝的套件受到 RHSA-2018:1450 公告中提及的多個弱點影響。

Red Hat JBoss Enterprise Application Platform 是一個以 JBoss Application Server 為基礎,並提供給 Java 應用程式使用的平台。

此 Red Hat JBoss Enterprise Application Platform 6.4.20 版本是 Red Hat JBoss Enterprise Application Platform 6.4.19 的替代版本,其中包含數個錯誤修正和增強功能,詳情請參閱〈參照〉中的「版本資訊」連結。

安全性修正:

* jackson-databind:因為不完整的封鎖清單導致不安全的還原序列化 (CVE-2017-7525 的修正不完整) (CVE-2017-15095)

* jackson-databind:因為不完整的封鎖清單導致不安全的還原序列化 (CVE-2017-15095 的修正不完整) (CVE-2017-17485)

* slf4j:EventData 建構函式中的反序列化弱點可導致任意程式碼執行 (CVE-2018-8088)

* Apache ActiveMQ Artemis:不受信任輸入的還原序列化弱點 (CVE-2016-4978)

* solr:透過索引覆寫 HTTP API 進行目錄遊走 (CVE-2017-3163)

* tomcat:在安全性條件約束中錯誤處理空白字串 URL 會導致資源意外洩露 (CVE-2018-1304)

* jackson-databind:CVE-2017-7525 的修正不完整導致可透過 c3p0 程式庫進行不安全的序列化 (CVE-2018-7489)

如需安全性問題的詳細資料,包括影響、CVSS 分數及其他相關資訊,請參閱〈參照〉一節列出的 CVE 頁面。

Red Hat 感謝 Liao Xinxi (NSFOCUS) 報告 CVE-2017-15095;0c0c0f (來自 360) 報告 CVE-2017-17485;以及 Chris McCown 報告 CVE-2018-8088。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

根據 RHSA-2018:1450 中的指引更新 RHEL Red Hat JBoss Enterprise Application Platform 6.4.20 套件。

另請參閱

https://access.redhat.com/security/updates/classification/#important

http://www.nessus.org/u?7ef4c395

https://bugzilla.redhat.com/show_bug.cgi?id=1379207

https://bugzilla.redhat.com/show_bug.cgi?id=1454783

https://bugzilla.redhat.com/show_bug.cgi?id=1506612

https://bugzilla.redhat.com/show_bug.cgi?id=1528565

https://bugzilla.redhat.com/show_bug.cgi?id=1548289

https://bugzilla.redhat.com/show_bug.cgi?id=1548909

https://bugzilla.redhat.com/show_bug.cgi?id=1549276

https://bugzilla.redhat.com/show_bug.cgi?id=1559009

https://bugzilla.redhat.com/show_bug.cgi?id=1559012

https://bugzilla.redhat.com/show_bug.cgi?id=1559017

http://www.nessus.org/u?dd9b3894

https://access.redhat.com/errata/RHSA-2018:1450

Plugin 詳細資訊

嚴重性: Critical

ID: 233045

檔案名稱: redhat-RHSA-2018-1450.nasl

版本: 1.1

類型: local

代理程式: unix

已發布: 2025/3/20

已更新: 2025/3/20

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

Vendor

Vendor Severity: Important

CVSS v2

風險因素: High

基本分數: 7.5

時間性分數: 5.9

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2018-8088

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 8.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jboss-as-logging, p-cpe:/a:redhat:enterprise_linux:jbossas-core, p-cpe:/a:redhat:enterprise_linux:jboss-as-xts, p-cpe:/a:redhat:enterprise_linux:jboss-as-picketlink, p-cpe:/a:redhat:enterprise_linux:jboss-as-transactions, p-cpe:/a:redhat:enterprise_linux:jboss-as-webservices, p-cpe:/a:redhat:enterprise_linux:jboss-as-system-jmx, p-cpe:/a:redhat:enterprise_linux:jboss-as-version, p-cpe:/a:redhat:enterprise_linux:hornetq, p-cpe:/a:redhat:enterprise_linux:jboss-as-appclient, p-cpe:/a:redhat:enterprise_linux:jboss-as-core-security, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi, p-cpe:/a:redhat:enterprise_linux:jboss-as-cli, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-repository, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsr77, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-http, p-cpe:/a:redhat:enterprise_linux:jboss-as-client-all, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-scanner, p-cpe:/a:redhat:enterprise_linux:jboss-as-network, p-cpe:/a:redhat:enterprise_linux:jbossas-appclient, p-cpe:/a:redhat:enterprise_linux:jboss-as-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-configadmin, p-cpe:/a:redhat:enterprise_linux:jboss-as-embedded, p-cpe:/a:redhat:enterprise_linux:picketbox, p-cpe:/a:redhat:enterprise_linux:jboss-as-jmx, p-cpe:/a:redhat:enterprise_linux:jboss-as-weld, p-cpe:/a:redhat:enterprise_linux:jboss-as-clustering, p-cpe:/a:redhat:enterprise_linux:jboss-as-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-as-jpa, p-cpe:/a:redhat:enterprise_linux:jboss-as-protocol, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller-client, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxrs, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxr, p-cpe:/a:redhat:enterprise_linux:jboss-as-jdr, p-cpe:/a:redhat:enterprise_linux:jboss-as-sar, p-cpe:/a:redhat:enterprise_linux:jboss-as-configadmin, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-management, p-cpe:/a:redhat:enterprise_linux:jbossas-domain, cpe:/o:redhat:enterprise_linux:5, p-cpe:/a:redhat:enterprise_linux:jboss-as-web, p-cpe:/a:redhat:enterprise_linux:jbossas-modules-eap, p-cpe:/a:redhat:enterprise_linux:jbossas-welcome-content-eap, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsf, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller, p-cpe:/a:redhat:enterprise_linux:jbossas-javadocs, p-cpe:/a:redhat:enterprise_linux:jboss-as-security, p-cpe:/a:redhat:enterprise_linux:jboss-as-modcluster, p-cpe:/a:redhat:enterprise_linux:jboss-as-cmp, p-cpe:/a:redhat:enterprise_linux:jboss-as-connector, p-cpe:/a:redhat:enterprise_linux:jbossas-bundles, p-cpe:/a:redhat:enterprise_linux:codehaus-jackson-xc, p-cpe:/a:redhat:enterprise_linux:codehaus-jackson-mapper-asl, p-cpe:/a:redhat:enterprise_linux:jboss-as-threads, p-cpe:/a:redhat:enterprise_linux:codehaus-jackson-jaxrs, p-cpe:/a:redhat:enterprise_linux:jboss-as-host-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-pojo, p-cpe:/a:redhat:enterprise_linux:jbossas-product-eap, p-cpe:/a:redhat:enterprise_linux:codehaus-jackson, p-cpe:/a:redhat:enterprise_linux:jbossas-standalone, p-cpe:/a:redhat:enterprise_linux:lucene-solr, p-cpe:/a:redhat:enterprise_linux:jboss-as-mail, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee-deployment, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-service, p-cpe:/a:redhat:enterprise_linux:jboss-as-process-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-jacorb, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jboss-as-naming, p-cpe:/a:redhat:enterprise_linux:jboss-as-platform-mbean, p-cpe:/a:redhat:enterprise_linux:jboss-as-ejb3, p-cpe:/a:redhat:enterprise_linux:jboss-as-management-client-content, p-cpe:/a:redhat:enterprise_linux:codehaus-jackson-core-asl, p-cpe:/a:redhat:enterprise_linux:jboss-as-server

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2018/5/14

弱點發布日期: 2016/9/23

參考資訊

CVE: CVE-2016-4978, CVE-2017-15095, CVE-2017-17485, CVE-2017-3163, CVE-2017-7525, CVE-2018-1304, CVE-2018-7489, CVE-2018-8088

CWE: 184, 20, 22, 284, 502

RHSA: 2018:1450