偵測

RHEL 4 / 5 / 6:resteasy (RHSA-2012:1059)

medium Nessus Plugin ID 64046

語系:

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 4、5 和 6 之 JBoss Enterprise Application Platform 5.1.2 的更新版 resteasy 套件,可修正一個安全性問題。

Red Hat 安全性回應團隊已將此更新評等為具有中等安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。

RESTEasy 提供多種架構,協助您構建 RESTful Web 服務和 RESTful Java 應用程式。

據發現,RESTEasy 容易遭受 XML 外部實體 (XXE) 攻擊。如果遠端攻擊者提交一個包含外部 XML 實體的要求給 RESTEasy 端點,將會解析該實體,進而允許攻擊者讀取執行應用程式伺服器之使用者可存取的檔案。此瑕疵影響 DOM (文件物件模型) 文件與 JAXB (Java XML 繫結架構) 輸入。(CVE-2012-0818)

注意:CVE-2012-0818 的修正預設為不啟用。此更新可新增一個新的組態選項,以停用 RESTEasy 中的實體擴充。如果伺服器上的應用程式公開 RESTEasy XML 端點,resteasy.document.expand.entity.references 組態程式碼片段必須新增至其 web.xml 檔案,以停用 RESTEasy 中的實體擴充。如需詳細資訊,請參閱 Red Hat Bugzilla 錯誤 785631。

警告:套用此更新之前,請先備份 JBoss Enterprise Application Platform 的‘jboss-as/server/[PROFILE]/deploy/’目錄,以及所有其他自訂組態檔。

在 Red Hat Enterprise Linux 4、5 和 6 中使用 JBoss Enterprise Application Platform 5.1.2 的使用者應升級至這些更新版套件,以更正此問題。必須重新啟動 JBoss 伺服器處理程序,此更新才會生效。

解決方案

更新受影響的套件。

另請參閱

http://www.nessus.org/u?5b358b09

https://bugzilla.redhat.com/show_bug.cgi?id=785631

https://access.redhat.com/errata/RHSA-2012:1059

https://access.redhat.com/security/updates/classification/#moderate

Plugin 詳細資訊

嚴重性: Medium

ID: 64046

檔案名稱: redhat-RHSA-2012-1059.nasl

版本: 1.22

類型: local

代理程式: unix

已發布: 2013/1/24

已更新: 2024/4/27

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Medium

基本分數: 5

時間分數: 3.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS 評分資料來源: CVE-2012-0818

CVSS v3

風險因素: Medium

基本分數: 5.3

時間分數: 4.6

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/o:redhat:enterprise_linux:4, p-cpe:/a:redhat:enterprise_linux:resteasy, p-cpe:/a:redhat:enterprise_linux:resteasy-examples, p-cpe:/a:redhat:enterprise_linux:resteasy-javadoc, p-cpe:/a:redhat:enterprise_linux:resteasy-manual, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:6

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2012/7/5

弱點發布日期: 2012/11/23

參考資訊

CVE: CVE-2011-5245, CVE-2012-0818

BID: 51748

CWE: 611

RHSA: 2012:1059