RHEL 4:JBoss EAP (RHSA-2009:1636)
medium Nessus Plugin ID 63903
語系:
概要
遠端 Red Hat 主機缺少一個或多個安全性更新。說明
現已提供適用於 Red Hat Enterprise Linux 4 之 JBEAP 4.3.0.CP07 的更新版 JBoss Enterprise Application Platform (JBEAP) 4.3 套件,可修正多個安全性問題、數個錯誤,並新增增強功能。Red Hat 安全性回應團隊已將此更新評等為具有中等安全性影響。
JBoss Enterprise Application Platform 是一個適用於創新與可擴充之 Java 應用程式的業界領先平台;將 JBoss Application Server、JBoss Hibernate 和 JBoss Seam 整合成一個完整、簡單的企業解決方案。
此適用於 Red Hat Enterprise Linux 4 的 JBEAP 版本是 JBEAP 4.3.0.CP06 的替代版本。
這些更新版套件近期將可從以下連結取得,包含錯誤修正和增強功能 (如版本資訊詳述):
http://www.redhat.com/docs/en-US/JBoss_Enterprise_Application_Platform/
此版本也已修正以下安全性問題:
在 xml-security 中發現,遺漏了檢查 HMAC 型 XML 簽章之截斷表單的最短建議長度。攻擊者可利用此瑕疵建立偽造 XML 簽章的特製 XML 檔案,允許攻擊者繞過以 XML 簽章規格為基礎的驗證。
(CVE-2009-0217)
Swatej Kumar 在 JBoss Application Server Web 主控台中,發現數個跨網站指令碼 (XSS) 瑕疵。攻擊者可利用這些瑕疵,將誤導資料顯示給經過驗證的使用者,或在經過驗證之使用者的瀏覽器工作階段中執行任意指令碼。(CVE-2009-2405)
在 Apache Xerces2 Java 剖析器處理 DTD 之 SYSTEM 識別碼的方式中發現一個瑕疵。遠端攻擊者可提供特製的 XML 檔案,一旦使用 Apache Xerces2 Java 剖析器的應用程式將之剖析後,會導致拒絕服務 (應用程式因 CPU 使用率過高而當機)。(CVE-2009-2625)
在 twiddle 命令行用戶端中發現一個資訊洩漏瑕疵。
以純文字將 JMX 密碼註冊於「twiddle.log」。
(CVE-2009-3554)
在 JMX 主控台中發現一個 XSS 瑕疵。攻擊者可利用此瑕疵,將誤導資料顯示給經過驗證的使用者,或在經過驗證之使用者的瀏覽器工作階段中執行任意指令碼。(CVE-2009-1380)
警告:套用此更新之前,請先備份 JBEAP 「server/[configuration]/deploy/」目錄,以及任何其他自訂的組態檔。
建議 Red Hat Enterprise Linux 4 上的所有 JBEAP 4.3 使用者皆升級至這些更新版套件。
解決方案
更新受影響的套件。另請參閱
https://access.redhat.com/security/cve/cve-2009-0217
https://access.redhat.com/security/cve/cve-2009-1380
https://access.redhat.com/security/cve/cve-2009-2405
https://access.redhat.com/security/cve/cve-2009-2625
https://access.redhat.com/security/cve/cve-2009-3554
Plugin 詳細資訊
嚴重性: Medium
ID: 63903
檔案名稱: redhat-RHSA-2009-1636.nasl
版本: 1.19
類型: local
代理程式: unix
已發布: 2013/1/24
已更新: 2021/1/14
支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.2
CVSS v2
風險因素: Medium
基本分數: 5
時間分數: 3.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
弱點資訊
CPE: p-cpe:/a:redhat:enterprise_linux:glassfish-javamail, p-cpe:/a:redhat:enterprise_linux:glassfish-jaxb, p-cpe:/a:redhat:enterprise_linux:glassfish-jaxb-javadoc, p-cpe:/a:redhat:enterprise_linux:glassfish-jsf, p-cpe:/a:redhat:enterprise_linux:hibernate3, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-javadoc, p-cpe:/a:redhat:enterprise_linux:jacorb, p-cpe:/a:redhat:enterprise_linux:jakarta-commons-logging-jboss, p-cpe:/a:redhat:enterprise_linux:jboss-aop, p-cpe:/a:redhat:enterprise_linux:jboss-common, p-cpe:/a:redhat:enterprise_linux:jboss-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-seam, p-cpe:/a:redhat:enterprise_linux:jboss-seam-docs, p-cpe:/a:redhat:enterprise_linux:jboss-seam2, p-cpe:/a:redhat:enterprise_linux:jboss-seam2-docs, p-cpe:/a:redhat:enterprise_linux:jbossas, p-cpe:/a:redhat:enterprise_linux:jbossas-4.3.0.ga_cp07-bin, p-cpe:/a:redhat:enterprise_linux:jbossas-client, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jbossws, p-cpe:/a:redhat:enterprise_linux:jbossws-common, p-cpe:/a:redhat:enterprise_linux:jbossws-framework, p-cpe:/a:redhat:enterprise_linux:jbossws-native42, p-cpe:/a:redhat:enterprise_linux:jcommon, p-cpe:/a:redhat:enterprise_linux:jfreechart, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:quartz, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs-examples, p-cpe:/a:redhat:enterprise_linux:xerces-j2, p-cpe:/a:redhat:enterprise_linux:xml-security, cpe:/o:redhat:enterprise_linux:4
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2009/12/9
弱點發布日期: 2009/7/14
參考資訊
CVE: CVE-2009-0217, CVE-2009-1380, CVE-2009-2405, CVE-2009-2625, CVE-2009-3554