偵測

RHEL 5:JBoss EAP (RHSA-2010:0938)

high Nessus Plugin ID 63962

語系:

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 5 之 JBEAP 4.3.0.CP09 的更新版 JBoss Enterprise Application Platform (JBEAP) 4.3 套件,可修正三個安全性問題和多個錯誤。

Red Hat 安全性回應團隊已將此更新評等為具有重要安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。

JBoss Enterprise Application Platform 是一個適用於創新與可擴充之 Java 應用程式的業界領先平台;將 JBoss Application Server、JBoss Hibernate 和 JBoss Seam 整合成一個完整、簡單的企業解決方案。

此適用於 Red Hat Enterprise Linux 5 的 JBEAP 版本是 JBEAP 4.3.0.CP08 的替代版本。

這些更新版套件包含多個錯誤修正 (如版本資訊所述)。版本資訊近期將可從<參照>一節的連結中取得。

此版本也已修正以下安全性問題:

在 JBoss Drools 實作特定規則型序列化的方式中,發現一個輸入清理瑕疵。如果遠端攻擊者提供特製的輸入至可接受序列化輸入之 JBoss Seam 型應用程式,可導致以 JBoss 伺服器處理程序的權限執行任意程式碼。
(CVE-2010-3708)

在 JMX 主控台中發現一個跨網站要求偽造 (CSRF) 瑕疵。
如果遠端攻擊者能誘騙使用者 (以管理員使用者的身份登入 JMX 主控台) 造訪特製的網頁,便可利用此瑕疵將其所選擇的 WAR 檔案部署至目標伺服器。(CVE-2010-3878)

在 JBoss Remoting 元件中發現一個瑕疵。遠端攻擊者可利用特製的輸入導致 JBoss Remoting 接聽程式變得沒有回應,進而對透過 JBoss Remoting 通訊端進行通訊的服務造成拒絕服務的情況。
(CVE-2010-3862)

Red Hat 要感謝 eXerp.com 的 Ole Husgaard 報告 CVE-2010-3862 問題。

警告:套用此更新之前,請先備份 JBEAP 「server/[configuration]/deploy/」目錄,以及任何其他自訂的組態檔。

建議 Red Hat Enterprise Linux 5 上的所有 JBEAP 4.3 使用者皆升級至這些更新版套件。

解決方案

更新受影響的套件。

另請參閱

https://access.redhat.com/security/cve/cve-2010-3708

https://access.redhat.com/security/cve/cve-2010-3862

https://access.redhat.com/security/cve/cve-2010-3878

http://www.nessus.org/u?ee65a551

https://access.redhat.com/errata/RHSA-2010:0938

Plugin 詳細資訊

嚴重性: High

ID: 63962

檔案名稱: redhat-RHSA-2010-0938.nasl

版本: 1.25

類型: local

代理程式: unix

已發布: 2013/1/24

已更新: 2021/1/14

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 7.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:glassfish-jaxb, p-cpe:/a:redhat:enterprise_linux:glassfish-jaxws, p-cpe:/a:redhat:enterprise_linux:hibernate3, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-javadoc, p-cpe:/a:redhat:enterprise_linux:javassist, p-cpe:/a:redhat:enterprise_linux:jboss-common, p-cpe:/a:redhat:enterprise_linux:jboss-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-seam, p-cpe:/a:redhat:enterprise_linux:jboss-seam-docs, p-cpe:/a:redhat:enterprise_linux:jboss-seam2, p-cpe:/a:redhat:enterprise_linux:jboss-seam2-docs, p-cpe:/a:redhat:enterprise_linux:jbossas, p-cpe:/a:redhat:enterprise_linux:jbossas-4.3.0.ga_cp09-bin, p-cpe:/a:redhat:enterprise_linux:jbossas-client, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jbossws, p-cpe:/a:redhat:enterprise_linux:jbossws-common, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:quartz, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs-examples, p-cpe:/a:redhat:enterprise_linux:xalan-j2, cpe:/o:redhat:enterprise_linux:5

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

修補程式發佈日期: 2010/12/1

弱點發布日期: 2010/12/30

參考資訊

CVE: CVE-2010-3708, CVE-2010-3862, CVE-2010-3878

RHSA: 2010:0938