RHEL 4:JBoss EAP (RHSA-2009:1146)

medium Nessus Plugin ID 63885
新推出!弱點優先順序評分 (VPR)

Tenable 會為每個弱點計算動態 VPR。VPR 將弱點資訊與威脅情報和機器學習演算法加以結合,藉此預測攻擊者最有可能利用哪些弱點發動攻擊。查看詳細資訊: VPR 是什麼?它跟 CVSS 有何不同?

VPR 評分: 6.2

Synopsis

遠端 Red Hat 主機缺少一個或多個安全性更新。

描述

現已提供適用於 Red Hat Enterprise Linux 4 之 JBEAP 4.3.0.CP05 的更新版 JBoss Enterprise Application Platform (JBEAP) 4.3 套件,可修正多個問題。

Red Hat 安全性回應團隊已將此更新評等為具有重要安全性影響。

JBoss Enterprise Application Platform 是一個適用於創新與可擴充之 Java 應用程式的業界領先平台;將 JBoss Application Server、JBoss Hibernate 和 JBoss Seam 整合成一個完整、簡單的企業解決方案。

此適用於 Red Hat Enterprise Linux 4 的 JBEAP 版本是 JBEAP 4.3.0.CP04 的替代版本。

這些更新版套件包含錯誤修正和增強功能 (如版本資訊所述)。您可在此錯字勘誤表的〈參照〉一節中取得版本資訊連結。

此版本也已修正以下安全性問題:

據發現,要求分派程式並未正確標準化具有結尾查詢字串的使用者要求,進而允許遠端攻擊者傳送特製要求並導致資訊洩漏。(CVE-2008-5515)

據發現,某些驗證類別的錯誤檢查方法並未充分檢查錯誤,進而允許遠端攻擊者在使用表單式驗證時,列舉 (透過暴力密碼破解方法) 註冊於 JBossWeb 上所部署之應用程式的使用者名稱。(CVE-2009-0580)

據發現,包含自身 XML 剖析器的 Web 應用程式,可取代 JBossWeb 用來剖析組態檔的 XML 剖析器。在 JBossWeb 執行個體上執行的惡意 Web 應用程式,可讀取或可能修改部署於相同 JBossWeb 執行個體上之其他 Web 應用程式的組態與 XML 資料。(CVE-2009-0783)

警告:套用此更新之前,請先備份 JBEAP 「server/[configuration]/deploy/」目錄,以及任何其他自訂的組態檔。

建議 Red Hat Enterprise Linux 4 上的所有 JBEAP 4.3 使用者皆升級至這些更新版套件。

解決方案

更新受影響的套件。

另請參閱

https://access.redhat.com/security/cve/cve-2008-5515

https://access.redhat.com/security/cve/cve-2009-0580

https://access.redhat.com/security/cve/cve-2009-0783

http://www.nessus.org/u?13c46bfa

https://access.redhat.com/errata/RHSA-2009:1146

Plugin 詳細資訊

嚴重性: Medium

ID: 63885

檔案名稱: redhat-RHSA-2009-1146.nasl

版本: 1.19

類型: local

代理程式: unix

已發布: 2013/1/24

已更新: 2021/1/14

相依性: ssh_get_info.nasl

風險資訊

風險因素: Medium

VPR 評分: 6.2

CVSS v2.0

基本分數: 5

時間分數: 4.1

媒介: AV:N/AC:L/Au:N/C:P/I:N/A:N

時間媒介: E:F/RL:OF/RC:C

CVSS v3.0

基本分數: 4.2

時間分數: 3.9

媒介: CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L

時間媒介: E:F/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:glassfish-jaxb, p-cpe:/a:redhat:enterprise_linux:glassfish-jaxb-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-commons-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-commons-annotations-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-validator, p-cpe:/a:redhat:enterprise_linux:hibernate3-validator-javadoc, p-cpe:/a:redhat:enterprise_linux:hsqldb, p-cpe:/a:redhat:enterprise_linux:jakarta-slide-webdavclient, p-cpe:/a:redhat:enterprise_linux:jboss-cache, p-cpe:/a:redhat:enterprise_linux:jboss-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-seam, p-cpe:/a:redhat:enterprise_linux:jboss-seam-docs, p-cpe:/a:redhat:enterprise_linux:jbossas, p-cpe:/a:redhat:enterprise_linux:jbossas-4.3.0.GA_CP05-bin, p-cpe:/a:redhat:enterprise_linux:jbossas-client, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jbossws, p-cpe:/a:redhat:enterprise_linux:jbossws-common, p-cpe:/a:redhat:enterprise_linux:jbossws-framework, p-cpe:/a:redhat:enterprise_linux:jbossws-native42, p-cpe:/a:redhat:enterprise_linux:jbossws-spi, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs-examples, p-cpe:/a:redhat:enterprise_linux:xerces-j2, cpe:/o:redhat:enterprise_linux:4

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2009/7/6

弱點發布日期: 2009/6/5

惡意利用途徑

CANVAS (D2ExploitPack)

參考資訊

CVE: CVE-2008-5515, CVE-2009-0580, CVE-2009-0783

BID: 35196, 35263, 35416

RHSA: 2009:1146

CWE: 22, 200