RHEL 4 / 5 / 6：JBoss EAP (RHSA-2013:0257)

medium Nessus Plugin ID 64628

語系：

概要

遠端 Red Hat 主機缺少安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 4、5 和 6 的更新版 apache-cxf package for JBoss Enterprise Application Platform 5.2.0 套件，可修正兩個安全性問題。

Red Hat 安全性回應團隊已將此更新評等為具有重要安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

JBoss Enterprise Application Platform 是一個適用於 Java 應用程式的平台，其整合了 JBoss Application Server、JBoss Hibernate 和 JBoss Seam。

若 web 服務是利用 Apache CXF 部署，且已啟用 WSS4JInInterceptor 套用 WS-Security 處理，則這些服務的 HTTP GET 要求會隨時授予權限，而不會套用驗證檢查。URIMappingInterceptor 是一種傳統機制，用於允許 REST-like 存取 (透過 GET 要求) 簡單的 SOAP 服務。遠端攻擊者可利用此瑕疵，透過可繞過 WSS4JInInterceptor 所套用之安全性限制的 GET 要求，存取簡單的 SOAP 服務之 REST-like 介面。僅在將 WSS4JInInterceptor 用於套用 WS-Security 處理時，才可利用此瑕疵。使用 WS-SecurityPolicy 套用安全性的服務並未受到影響。(CVE-2012-5633)

據發現，在特定情況下，Apache CXF 容易受到 SOAPAction 偽造攻擊影響。如果 Web 服務是透過針對各服務作業都使用唯一 SOAPAction 的 Apache CXF 公開，則在禁止作業接受的參數與允許作業相同時，遠端攻擊者便可執行 SOAPAction 偽造來呼叫該禁止作業。已針對所叫用的作業執行 WS-Policy 驗證，而且必須通過驗證，才能順利發動攻擊。
(CVE-2012-3451)

請注意，CVE-2012-3451 和 CVE-2012-5633 問題只會影響裝有 JBoss Web Services CXF 的環境。

Red Hat 要感謝 Apache CXF 專案報告 CVE-2012-3451。

警告：套用此更新之前，請先備份現有的 JBoss Enterprise Application Platform 安裝 (包括所有應用程式和組態檔)。

建議所有在 Red Hat Enterprise Linux 4、5 和 6 上使用 JBoss Enterprise Application Platform 5.2.0 的使用者皆升級至此更新版套件。必須重新啟動 JBoss 伺服器處理程序，此更新才會生效。