偵測

RHEL 5:JBoss EAP (RHSA-2013:1207)

medium Nessus Plugin ID 69882

語系:

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 5 的 Red Hat JBoss Enterprise Application Platform 6.1.1,可修正多個安全性問題、數個錯誤,並新增多個增強項目。

Red Hat 安全性回應團隊已將此更新評等為具有中等安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。

Red Hat JBoss Enterprise Application Platform 6 是一個以 JBoss Application Server 7 為基礎,並提供給 Java 應用程式使用的平台。

此版本將做為 Red Hat JBoss Enterprise Application Platform 6.1.0 的取代套件,其中含有錯誤修正和增強項目。
請參閱 6.1.1 版本資訊,瞭解最重要的變更資訊,相關資訊將於近期發佈至 https://access.redhat.com/site/documentation/

安全性修正:

在 mod_info、mod_status、mod_imagemap、mod_ldap 和 mod_proxy_ftp 模組中發現多個跨網站指令碼 (XSS) 瑕疵。如果攻擊者能夠使受害者的瀏覽器以特製的主機標頭產生 HTTP 要求,他們就可能利用這些瑕疵執行 XSS 攻擊。(CVE-2012-3499)

在 mod_proxy_balancer 模組的管理員 Web 介面中,發現多個跨網站指令碼 (XSS) 瑕疵。如果遠端攻擊者可誘騙已登入管理員 Web 介面的使用者造訪特製的 URL,這會導致在使用者的管理員介面工作階段的內容中執行任意 Web 指令碼。
(CVE-2012-4558)

在 mod_dav 模組處理合併要求的方式中發現一個瑕疵。
攻擊者可利用此瑕疵傳送特製的 merge 要求,其中含有尚未設定 DAV 的 URI,可能會導致 httpd 子處理程序損毀。(CVE-2013-1896)

在 Apache Santuario XML Security for Java 用於驗證 XML 簽章的方式中發現一個瑕疵。Santuario 允許簽章指定任意標準化演算法,該演算法會套用到 SignedInfo XML 片段。遠端攻擊者可利用此瑕疵,透過特製的 XML 簽章區塊偽造 XML 簽章。
(CVE-2013-2172)

據發現,mod_rewrite 無法從其記錄檔篩選終端逸出序列。如果 mod_rewrite 是以 RewriteLog 指示詞設定,遠端攻擊者可利用特製的 HTTP 要求,將終端逸出序列插入 mod_rewrite 記錄檔。如果受害者以終端模擬器檢視記錄檔,可導致以該使用者的權限執行任意命令。
(CVE-2013-1862)

PicketBox Vault 用於儲存加密密碼的資料檔案中包含其擁有的管理員金鑰複本。檔案僅使用此管理員金鑰加密,而不使用對應的 JKS 金鑰。具有 vault 資料檔案讀取權限的本機攻擊者可讀取檔案的管理員金鑰,並利用該金鑰解密檔案,甚至讀取純文字格式的已儲存密碼。(CVE-2013-1921)

在 JGroup 的 DiagnosticsHandler 中發現一個瑕疵,可讓相鄰網路的攻擊者重複使用先前成功經過驗證的認證。這可遭到惡意利用,進而讀取診斷資訊 (資訊洩漏) 並取得有限的遠端程式碼執行。(CVE-2013-4112)

警告:套用此更新之前,請先備份現有的 Red Hat JBoss Enterprise Application Platform 安裝和已部署的應用程式。如需更進一步的詳細資訊,請參閱〈解決方案〉一節。

建議所有在 Red Hat Enterprise Linux 5 中使用 Red Hat JBoss Enterprise Application Platform 6.1.0 的使用者皆升級至這些更新版套件。必須重新啟動 JBoss 伺服器處理程序,此更新才會生效。

解決方案

更新受影響的套件。

另請參閱

https://www.redhat.com/security/data/cve/CVE-2012-3499.html

https://www.redhat.com/security/data/cve/CVE-2012-4558.html

https://www.redhat.com/security/data/cve/CVE-2013-1862.html

https://www.redhat.com/security/data/cve/CVE-2013-1896.html

https://www.redhat.com/security/data/cve/CVE-2013-1921.html

https://www.redhat.com/security/data/cve/CVE-2013-2172.html

https://www.redhat.com/security/data/cve/CVE-2013-4112.html

https://access.redhat.com/site/documentation/

http://rhn.redhat.com/errata/RHSA-2013-1207.html

Plugin 詳細資訊

嚴重性: Medium

ID: 69882

檔案名稱: redhat-RHSA-2013-1207.nasl

版本: 1.10

類型: local

代理程式: unix

已發布: 2013/9/13

已更新: 2021/1/14

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 5.1

時間分數: 3.8

媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:apache-commons-beanutils, p-cpe:/a:redhat:enterprise_linux:apache-commons-daemon-jsvc-eap6, p-cpe:/a:redhat:enterprise_linux:apache-cxf, p-cpe:/a:redhat:enterprise_linux:apache-cxf-xjc-utils, p-cpe:/a:redhat:enterprise_linux:cxf-xjc-boolean, p-cpe:/a:redhat:enterprise_linux:cxf-xjc-dv, p-cpe:/a:redhat:enterprise_linux:cxf-xjc-ts, p-cpe:/a:redhat:enterprise_linux:hibernate4, p-cpe:/a:redhat:enterprise_linux:hibernate4-core, p-cpe:/a:redhat:enterprise_linux:hibernate4-entitymanager, p-cpe:/a:redhat:enterprise_linux:hibernate4-envers, p-cpe:/a:redhat:enterprise_linux:hibernate4-infinispan, p-cpe:/a:redhat:enterprise_linux:hornetq, p-cpe:/a:redhat:enterprise_linux:hornetq-native, p-cpe:/a:redhat:enterprise_linux:httpd, p-cpe:/a:redhat:enterprise_linux:httpd-devel, p-cpe:/a:redhat:enterprise_linux:httpd-tools, p-cpe:/a:redhat:enterprise_linux:infinispan, p-cpe:/a:redhat:enterprise_linux:infinispan-cachestore-jdbc, p-cpe:/a:redhat:enterprise_linux:infinispan-cachestore-remote, p-cpe:/a:redhat:enterprise_linux:infinispan-client-hotrod, p-cpe:/a:redhat:enterprise_linux:infinispan-core, p-cpe:/a:redhat:enterprise_linux:ironjacamar, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-api, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-impl, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-spi, p-cpe:/a:redhat:enterprise_linux:ironjacamar-core-api, p-cpe:/a:redhat:enterprise_linux:ironjacamar-core-impl, p-cpe:/a:redhat:enterprise_linux:ironjacamar-deployers-common, p-cpe:/a:redhat:enterprise_linux:ironjacamar-jdbc, p-cpe:/a:redhat:enterprise_linux:ironjacamar-spec-api, p-cpe:/a:redhat:enterprise_linux:ironjacamar-validator, p-cpe:/a:redhat:enterprise_linux:jaxbintros, p-cpe:/a:redhat:enterprise_linux:jboss-aesh, p-cpe:/a:redhat:enterprise_linux:jboss-as-appclient, p-cpe:/a:redhat:enterprise_linux:jboss-as-cli, p-cpe:/a:redhat:enterprise_linux:jboss-as-client-all, p-cpe:/a:redhat:enterprise_linux:jboss-as-clustering, p-cpe:/a:redhat:enterprise_linux:jboss-as-cmp, p-cpe:/a:redhat:enterprise_linux:jboss-as-configadmin, p-cpe:/a:redhat:enterprise_linux:jboss-as-connector, p-cpe:/a:redhat:enterprise_linux:jboss-as-console, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller-client, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-repository, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-scanner, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-http, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-management, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee-deployment, p-cpe:/a:redhat:enterprise_linux:jboss-as-ejb3, p-cpe:/a:redhat:enterprise_linux:jboss-as-embedded, p-cpe:/a:redhat:enterprise_linux:jboss-as-host-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-jacorb, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxr, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxrs, p-cpe:/a:redhat:enterprise_linux:jboss-as-jdr, p-cpe:/a:redhat:enterprise_linux:jboss-as-jmx, p-cpe:/a:redhat:enterprise_linux:jboss-as-jpa, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsf, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsr77, p-cpe:/a:redhat:enterprise_linux:jboss-as-logging, p-cpe:/a:redhat:enterprise_linux:jboss-as-mail, p-cpe:/a:redhat:enterprise_linux:jboss-as-management-client-content, p-cpe:/a:redhat:enterprise_linux:jboss-as-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-as-modcluster, p-cpe:/a:redhat:enterprise_linux:jboss-as-naming, p-cpe:/a:redhat:enterprise_linux:jboss-as-network, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-configadmin, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-service, p-cpe:/a:redhat:enterprise_linux:jboss-as-platform-mbean, p-cpe:/a:redhat:enterprise_linux:jboss-as-pojo, p-cpe:/a:redhat:enterprise_linux:jboss-as-process-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-protocol, p-cpe:/a:redhat:enterprise_linux:jboss-as-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-as-sar, p-cpe:/a:redhat:enterprise_linux:jboss-as-security, p-cpe:/a:redhat:enterprise_linux:jboss-as-server, p-cpe:/a:redhat:enterprise_linux:jboss-as-system-jmx, p-cpe:/a:redhat:enterprise_linux:jboss-as-threads, p-cpe:/a:redhat:enterprise_linux:jboss-as-transactions, p-cpe:/a:redhat:enterprise_linux:jboss-as-version, p-cpe:/a:redhat:enterprise_linux:jboss-as-web, p-cpe:/a:redhat:enterprise_linux:jboss-as-webservices, p-cpe:/a:redhat:enterprise_linux:jboss-as-weld, p-cpe:/a:redhat:enterprise_linux:jboss-as-xts, p-cpe:/a:redhat:enterprise_linux:jboss-ejb-client, p-cpe:/a:redhat:enterprise_linux:jboss-hal, p-cpe:/a:redhat:enterprise_linux:jboss-invocation, p-cpe:/a:redhat:enterprise_linux:jboss-jsp-api_2.2_spec, p-cpe:/a:redhat:enterprise_linux:jboss-logmanager, p-cpe:/a:redhat:enterprise_linux:jboss-marshalling, p-cpe:/a:redhat:enterprise_linux:jboss-modules, p-cpe:/a:redhat:enterprise_linux:jboss-remote-naming, p-cpe:/a:redhat:enterprise_linux:jboss-security-negotiation, p-cpe:/a:redhat:enterprise_linux:jboss-stdio, p-cpe:/a:redhat:enterprise_linux:jbossas-appclient, p-cpe:/a:redhat:enterprise_linux:jbossas-bundles, p-cpe:/a:redhat:enterprise_linux:jbossas-core, p-cpe:/a:redhat:enterprise_linux:jbossas-domain, p-cpe:/a:redhat:enterprise_linux:jbossas-hornetq-native, p-cpe:/a:redhat:enterprise_linux:jbossas-javadocs, p-cpe:/a:redhat:enterprise_linux:jbossas-modules-eap, p-cpe:/a:redhat:enterprise_linux:jbossas-product-eap, p-cpe:/a:redhat:enterprise_linux:jbossas-standalone, p-cpe:/a:redhat:enterprise_linux:jbossas-welcome-content-eap, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jbossws-common, p-cpe:/a:redhat:enterprise_linux:jbossws-cxf, p-cpe:/a:redhat:enterprise_linux:jbossws-spi, p-cpe:/a:redhat:enterprise_linux:jcip-annotations-eap6, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:log4j-jboss-logmanager, p-cpe:/a:redhat:enterprise_linux:mod_ssl, p-cpe:/a:redhat:enterprise_linux:netty, p-cpe:/a:redhat:enterprise_linux:opensaml, p-cpe:/a:redhat:enterprise_linux:openws, p-cpe:/a:redhat:enterprise_linux:picketbox, p-cpe:/a:redhat:enterprise_linux:picketlink-federation, p-cpe:/a:redhat:enterprise_linux:wss4j, p-cpe:/a:redhat:enterprise_linux:xml-security, cpe:/o:redhat:enterprise_linux:5

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/9/4

參考資訊

CVE: CVE-2012-3499, CVE-2012-4558, CVE-2013-1862, CVE-2013-1896, CVE-2013-1921, CVE-2013-2172, CVE-2013-4112

BID: 58165, 59826, 60846, 61129, 61179, 62256

RHSA: 2013:1207