偵測

RHEL 4 / 5 / 6:JBoss EAP (RHSA-2013:0873)

medium Nessus Plugin ID 66662

語系:

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 4、5 和 6 的更新版 JBoss Enterprise Application Platform 5.2.0 套件,可修正一個安全性問題。

Red Hat 安全性回應團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。

JBoss Enterprise Application Platform 是一個適用於 Java 應用程式的平台,其整合了 JBoss Application Server、JBoss Hibernate 和 JBoss Seam。

在多個架構中發現 XML 加密回溯相容性攻擊,包括 Apache CXF。即使已在端點上啟用安全密碼系統,攻擊者還是可強制伺服器使用不安全的舊式密碼系統。強制使用舊式密碼系統時,將會暴露 CVE-2011-1096 和 CVE-2011-2487 之類的瑕疵,這些瑕疵允許從密碼系統和對稱金鑰復原純文字。此問題同時影響 JBoss Web Services CXF (jbossws-cxf) 和 JBoss Web Services Native (jbossws-native) 堆疊。
(CVE-2012-5575)

Red Hat 要感謝 Ruhr-University Bochum 的 Tibor Jager、Kenneth G. Paterson 和 Juraj Somorovsky 報告此問題。

如果您正在使用 jbossws-cxf,則只有在使用 WS-SecurityPolicy 強制執行安全性需求時,才會執行防止此瑕疵的自動檢查。最好的做法是使用 WS-SecurityPolicy 強制執行安全性需求。

如果您正在使用 jbossws-native,「encryption」元素中的兩個新組態參數便會實作此瑕疵的修正。此元素可能是用戶端和伺服器 wsse 組態描述符號 (透過應用程式之 jboss-wsse-server.xml 和 jboss-wsse-client.xml 檔案,設定以每個應用程式為基礎) 中的子「需求」。
新屬性為「algorithms」和「keyWrapAlgorithms」。這些屬性應包含一個以空白或逗號分隔的演算法 ID 清單,這些 ID 允許存取加密的傳入訊息,同時適用於加密和私密金鑰包裝。為了回溯相容性,依預設不會針對空白清單或遺漏的屬性執行任何演算法檢查。

例如 (請勿將分行符號納入組態中):

encryption algorithms='aes-192-gcm aes-256-gcm' keyWrapAlgorithms='rsa_oaep'

請指定傳入訊息必須經過加密,並且只允許 GCM 模式中的 AES-192 和 256 加密演算法,而 RSA-OAEP 僅適用於金鑰包裝。

在執行任何解密之前,jbossws-native 堆疊會先驗證傳入訊息指定的每個演算法是否已納入這些新加密元素屬性所允許的演算法清單中。用於「algorithms」和「keyWrapAlgorithms」的演算法值與「encrypt」元素之「algorithm」和「keyWrapAlgorithm」的演算法值相同。

警告:套用此更新之前,請先備份現有的 JBoss Enterprise Application Platform 安裝 (包括所有應用程式和組態檔)。

建議所有在 Red Hat Enterprise Linux 4、5 和 6 上使用 JBoss Enterprise Application Platform 5.2.0 的使用者皆升級至這些更新版套件。必須重新啟動 JBoss 伺服器處理程序,此更新才會生效。

解決方案

更新受影響的 apache-cxf、jbossws 和/或 wss4j 套件。

另請參閱

http://ws.apache.org/wss4j/best_practice.html

http://cxf.apache.org/cve-2012-5575.html

https://access.redhat.com/errata/RHSA-2013:0873

https://access.redhat.com/security/cve/cve-2012-5575

Plugin 詳細資訊

嚴重性: Medium

ID: 66662

檔案名稱: redhat-RHSA-2013-0873.nasl

版本: 1.21

類型: local

代理程式: unix

已發布: 2013/5/29

已更新: 2021/1/14

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.0

CVSS v2

風險因素: Medium

基本分數: 6.4

時間分數: 5.6

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:apache-cxf, p-cpe:/a:redhat:enterprise_linux:jbossws, p-cpe:/a:redhat:enterprise_linux:wss4j, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:6

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/5/28

弱點發布日期: 2013/8/19

參考資訊

CVE: CVE-2012-5575

BID: 60043

RHSA: 2013:0873