RHEL 5:JBoss EAP (RHSA-2009:1650)

medium Nessus Plugin ID 63906

Synopsis

遠端 Red Hat 主機缺少一個或多個安全性更新。

描述

現已提供適用於 Red Hat Enterprise Linux 5 之 JBEAP 4.2.0.CP08 的更新版 JBoss Enterprise Application Platform (JBEAP) 4.2 套件,可修正多個安全性問題、數個錯誤,並新增增強功能。

Red Hat 安全性回應團隊已將此更新評等為具有中等安全性影響。

JBoss Enterprise Application Platform 是一個適用於創新與可擴充之 Java 應用程式的業界領先平台;將 JBoss Application Server、JBoss Hibernate 和 JBoss Seam 整合成一個完整、簡單的企業解決方案。

此適用於 Red Hat Enterprise Linux 5 的 JBEAP 版本是 JBEAP 4.2.0.CP07 的替代版本。

這些更新版套件近期將可從以下連結取得,包含錯誤修正和增強功能 (如版本資訊詳述):
http://www.redhat.com/docs/en-US/JBoss_Enterprise_Application_Platform/

此版本也已修正以下安全性問題:

在 xml-security 中發現,遺漏了檢查 HMAC 型 XML 簽章之截斷表單的最短建議長度。攻擊者可利用此瑕疵建立偽造 XML 簽章的特製 XML 檔案,允許攻擊者繞過以 XML 簽章規格為基礎的驗證。
(CVE-2009-0217)

Swatej Kumar 在 JBoss Application Server Web 主控台中,發現數個跨網站指令碼 (XSS) 瑕疵。攻擊者可利用這些瑕疵,將誤導資料顯示給經過驗證的使用者,或在經過驗證之使用者的瀏覽器工作階段中執行任意指令碼。(CVE-2009-2405)

在 Apache Xerces2 Java 剖析器處理 DTD 之 SYSTEM 識別碼的方式中發現一個瑕疵。遠端攻擊者可提供特製的 XML 檔案,一旦使用 Apache Xerces2 Java 剖析器的應用程式將之剖析後,會導致拒絕服務 (應用程式因 CPU 使用率過高而當機)。(CVE-2009-2625)

在 twiddle 命令行用戶端中發現一個資訊洩漏瑕疵。
以純文字將 JMX 密碼註冊於「twiddle.log」。
(CVE-2009-3554)

在 JMX 主控台中發現一個 XSS 瑕疵。攻擊者可利用此瑕疵,將誤導資料顯示給經過驗證的使用者,或在經過驗證之使用者的瀏覽器工作階段中執行任意指令碼。(CVE-2009-1380)

警告:套用此更新之前,請先備份 JBEAP 「server/[configuration]/deploy/」目錄,以及任何其他自訂的組態檔。

建議 Red Hat Enterprise Linux 5 上的所有 JBEAP 4.2 使用者皆升級至這些更新版套件。

解決方案

更新受影響的套件。

另請參閱

https://access.redhat.com/security/cve/cve-2009-0217

https://access.redhat.com/security/cve/cve-2009-1380

https://access.redhat.com/security/cve/cve-2009-2405

https://access.redhat.com/security/cve/cve-2009-2625

https://access.redhat.com/security/cve/cve-2009-3554

http://www.nessus.org/u?13c46bfa

https://access.redhat.com/errata/RHSA-2009:1650

Plugin 詳細資訊

嚴重性: Medium

ID: 63906

檔案名稱: redhat-RHSA-2009-1650.nasl

版本: 1.17

類型: local

代理程式: unix

已發布: 2013/1/24

已更新: 2021/1/14

支持的傳感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: Medium

基本分數: 5

時間分數: 3.7

媒介: AV:N/AC:L/Au:N/C:N/I:P/A:N

時間媒介: E:U/RL:OF/RC:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:glassfish-jsf, p-cpe:/a:redhat:enterprise_linux:hibernate3, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-javadoc, p-cpe:/a:redhat:enterprise_linux:jacorb, p-cpe:/a:redhat:enterprise_linux:jboss-aop, p-cpe:/a:redhat:enterprise_linux:jboss-common, p-cpe:/a:redhat:enterprise_linux:jboss-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-seam, p-cpe:/a:redhat:enterprise_linux:jboss-seam-docs, p-cpe:/a:redhat:enterprise_linux:jbossas, p-cpe:/a:redhat:enterprise_linux:jbossas-4.2.0.GA_CP08-bin, p-cpe:/a:redhat:enterprise_linux:jbossas-client, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jcommon, p-cpe:/a:redhat:enterprise_linux:jfreechart, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:quartz, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs-examples, p-cpe:/a:redhat:enterprise_linux:xml-security, cpe:/o:redhat:enterprise_linux:5

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2009/12/9

弱點發布日期: 2009/7/14

參考資訊

CVE: CVE-2009-0217, CVE-2009-1380, CVE-2009-2405, CVE-2009-2625, CVE-2009-3554

RHSA: 2009:1650

CWE: 79, 200, 264