RHEL 6:Red Hat JBoss Enterprise Application Platform 6.1.1 安全性更新 (中等) (RHSA-2013:1208)

medium Nessus Plugin ID 69883

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

遠端 Redhat Enterprise Linux 6 主機上安裝的套件受到 RHSA-2013:1208 公告中提及的多個弱點影響。

Red Hat JBoss Enterprise Application Platform 6 是一個以 JBoss Application Server 7 為基礎,並提供給 Java 應用程式使用的平台。

此版本將作為 Red Hat JBoss Enterprise Application Platform 6.1.0 的取代套件,其中包含錯誤修正和增強功能。請參閱 6.1.1 版本資訊,瞭解最重要的變更資訊,相關資訊將於近期發布至 https://access.redhat.com/site/documentation/

安全性更新:

在 mod_info、mod_status、mod_imagemap、mod_ldap 和 mod_proxy_ftp 模組中發現跨網站指令碼 (XSS) 瑕疵。如果攻擊者能夠使受害者的瀏覽器以特製的主機標頭產生 HTTP 要求,他們就可能利用這些缺陷執行 XSS 攻擊。(CVE-2012-3499)

在 mod_proxy_balancer 模組的管理員 Web 介面中,發現多個跨網站指令碼 (XSS) 瑕疵。如果遠端攻擊者可誘騙已登入管理員 Web 介面的使用者造訪特製的 URL,這會導致在使用者的管理員介面工作階段的內容中執行任意 Web 指令碼。(CVE-2012-4558)

在 mod_dav 模組處理合併要求的方式中發現一個瑕疵。攻擊者可利用此缺陷傳送特製的合併要求,其中含有尚未設定 DAV 的 URI,可能會導致 httpd 子處理程序損毀。(CVE-2013-1896)

在 Apache Santuario XML Security for Java 用於驗證 XML 簽章的方式中發現一個瑕疵。Santuario 允許簽章指定任意標準化演算法,該演算法會套用到 SignedInfo XML 片段。遠端攻擊者可利用此瑕疵,透過特製的 XML 簽章區塊偽造 XML 簽章。(CVE-2013-2172)

據發現,mod_rewrite 無法從其記錄檔篩選終端逸出序列。如果 mod_rewrite 是以 RewriteLog 指示詞設定,遠端攻擊者可利用特製的 HTTP 要求,將終端逸出序列插入 mod_rewrite 記錄檔。如果受害者以終端模擬器檢視記錄檔,可導致以該使用者的特權執行任意命令。(CVE-2013-1862)

PicketBox Vault 用於儲存加密密碼的資料檔案中包含其擁有的管理員金鑰複本。檔案僅使用此管理員金鑰加密,而不使用對應的 JKS 金鑰。具有 vault 資料檔案讀取權限的本機攻擊者可讀取檔案的管理員金鑰,並利用該金鑰解密檔案,甚至讀取純文字格式的已儲存密碼。
(CVE-2013-1921)

在 JGroup 的 DiagnosticsHandler 中發現一個瑕疵,可讓相鄰網路的攻擊者重複使用先前成功經過驗證的認證。這可遭到惡意利用,進而讀取診斷資訊 (資訊洩漏) 並取得有限的遠端程式碼執行。
(CVE-2013-4112)

警告:套用此更新之前,請先備份現有的 Red Hat JBoss Enterprise Application Platform 安裝和已部署的應用程式。
如需更進一步的詳細資訊,請參閱〈解決方案〉一節。

建議所有在 Red Hat Enterprise Linux 6 中使用 Red Hat JBoss Enterprise Application Platform 6.1.0 的使用者皆升級至這些更新版套件。必須重新啟動 JBoss 伺服器處理程序,此更新才會生效。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://access.redhat.com/site/documentation/

https://bugzilla.redhat.com/show_bug.cgi?id=915883

https://bugzilla.redhat.com/show_bug.cgi?id=915884

https://bugzilla.redhat.com/show_bug.cgi?id=948106

https://bugzilla.redhat.com/show_bug.cgi?id=953729

https://bugzilla.redhat.com/show_bug.cgi?id=983489

https://bugzilla.redhat.com/show_bug.cgi?id=983549

https://bugzilla.redhat.com/show_bug.cgi?id=985025

https://bugzilla.redhat.com/show_bug.cgi?id=985061

https://bugzilla.redhat.com/show_bug.cgi?id=985173

https://bugzilla.redhat.com/show_bug.cgi?id=989597

https://bugzilla.redhat.com/show_bug.cgi?id=989606

https://bugzilla.redhat.com/show_bug.cgi?id=990636

https://bugzilla.redhat.com/show_bug.cgi?id=990657

https://bugzilla.redhat.com/show_bug.cgi?id=990662

https://bugzilla.redhat.com/show_bug.cgi?id=990671

https://bugzilla.redhat.com/show_bug.cgi?id=990686

https://bugzilla.redhat.com/show_bug.cgi?id=995115

https://bugzilla.redhat.com/show_bug.cgi?id=995290

https://bugzilla.redhat.com/show_bug.cgi?id=995563

https://bugzilla.redhat.com/show_bug.cgi?id=996313

https://bugzilla.redhat.com/show_bug.cgi?id=999263

http://www.nessus.org/u?85fcba10

https://access.redhat.com/errata/RHSA-2013:1208

https://access.redhat.com/security/updates/classification/#moderate

Plugin 詳細資訊

嚴重性: Medium

ID: 69883

檔案名稱: redhat-RHSA-2013-1208.nasl

版本: 1.11

類型: local

代理程式: unix

已發布: 2013/9/13

已更新: 2025/3/20

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

Vendor

Vendor Severity: Moderate

CVSS v2

風險因素: Medium

基本分數: 5.4

時間性分數: 4.2

媒介: CVSS2#AV:A/AC:M/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2013-4112

CVSS v3

風險因素: Medium

基本分數: 6.1

時間性分數: 5.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

CVSS 評分資料來源: CVE-2013-6495

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:jbossws-cxf, p-cpe:/a:redhat:enterprise_linux:jaxbintros, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:jboss-as-appclient, p-cpe:/a:redhat:enterprise_linux:apache-cxf, p-cpe:/a:redhat:enterprise_linux:jboss-as-client-all, p-cpe:/a:redhat:enterprise_linux:jboss-as-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-aesh, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-configadmin, p-cpe:/a:redhat:enterprise_linux:infinispan-core, p-cpe:/a:redhat:enterprise_linux:jboss-as-weld, p-cpe:/a:redhat:enterprise_linux:jboss-as-clustering, p-cpe:/a:redhat:enterprise_linux:jcip-annotations-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-modules, p-cpe:/a:redhat:enterprise_linux:jboss-as-configadmin, p-cpe:/a:redhat:enterprise_linux:httpd-devel, p-cpe:/a:redhat:enterprise_linux:jbossas-modules-eap, p-cpe:/a:redhat:enterprise_linux:jbossas-welcome-content-eap, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-api, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller, p-cpe:/a:redhat:enterprise_linux:hibernate4, p-cpe:/a:redhat:enterprise_linux:jboss-as-threads, p-cpe:/a:redhat:enterprise_linux:apache-commons-daemon-jsvc-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-service, p-cpe:/a:redhat:enterprise_linux:jboss-as-jacorb, p-cpe:/a:redhat:enterprise_linux:hibernate4-core, p-cpe:/a:redhat:enterprise_linux:ironjacamar-deployers-common, p-cpe:/a:redhat:enterprise_linux:jboss-as-management-client-content, p-cpe:/a:redhat:enterprise_linux:jboss-as-server, p-cpe:/a:redhat:enterprise_linux:jboss-as-console, p-cpe:/a:redhat:enterprise_linux:picketlink-federation, p-cpe:/a:redhat:enterprise_linux:jboss-as-logging, p-cpe:/a:redhat:enterprise_linux:jboss-hal, p-cpe:/a:redhat:enterprise_linux:ironjacamar-validator, p-cpe:/a:redhat:enterprise_linux:jboss-as-version, p-cpe:/a:redhat:enterprise_linux:ironjacamar-core-impl, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-repository, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-scanner, p-cpe:/a:redhat:enterprise_linux:jboss-as-network, p-cpe:/a:redhat:enterprise_linux:picketbox, p-cpe:/a:redhat:enterprise_linux:jboss-invocation, p-cpe:/a:redhat:enterprise_linux:jboss-logmanager, p-cpe:/a:redhat:enterprise_linux:httpd-manual, p-cpe:/a:redhat:enterprise_linux:infinispan-cachestore-remote, p-cpe:/a:redhat:enterprise_linux:ironjacamar, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxrs, p-cpe:/a:redhat:enterprise_linux:apache-cxf-xjc-utils, p-cpe:/a:redhat:enterprise_linux:jboss-as-sar, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-management, p-cpe:/a:redhat:enterprise_linux:cxf-xjc-ts, p-cpe:/a:redhat:enterprise_linux:cxf-xjc-dv, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee, p-cpe:/a:redhat:enterprise_linux:jbossas-javadocs, p-cpe:/a:redhat:enterprise_linux:jboss-as-security, p-cpe:/a:redhat:enterprise_linux:jboss-as-cmp, p-cpe:/a:redhat:enterprise_linux:jboss-as-host-controller, p-cpe:/a:redhat:enterprise_linux:jbossas-product-eap, p-cpe:/a:redhat:enterprise_linux:jboss-security-negotiation, p-cpe:/a:redhat:enterprise_linux:ironjacamar-spec-api, p-cpe:/a:redhat:enterprise_linux:apache-commons-beanutils, p-cpe:/a:redhat:enterprise_linux:opensaml, p-cpe:/a:redhat:enterprise_linux:ironjacamar-jdbc, p-cpe:/a:redhat:enterprise_linux:jboss-as-jmx, p-cpe:/a:redhat:enterprise_linux:hornetq-native, p-cpe:/a:redhat:enterprise_linux:httpd-tools, p-cpe:/a:redhat:enterprise_linux:hornetq, p-cpe:/a:redhat:enterprise_linux:infinispan-client-hotrod, p-cpe:/a:redhat:enterprise_linux:xml-security, p-cpe:/a:redhat:enterprise_linux:jboss-as-cli, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:jboss-stdio, p-cpe:/a:redhat:enterprise_linux:jbossws-common, p-cpe:/a:redhat:enterprise_linux:netty, p-cpe:/a:redhat:enterprise_linux:hibernate4-entitymanager, p-cpe:/a:redhat:enterprise_linux:ironjacamar-core-api, p-cpe:/a:redhat:enterprise_linux:jbossas-domain, p-cpe:/a:redhat:enterprise_linux:jboss-as-web, p-cpe:/a:redhat:enterprise_linux:openws, p-cpe:/a:redhat:enterprise_linux:jboss-as-modcluster, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-spi, p-cpe:/a:redhat:enterprise_linux:jboss-as-connector, p-cpe:/a:redhat:enterprise_linux:jbossas-bundles, p-cpe:/a:redhat:enterprise_linux:httpd, p-cpe:/a:redhat:enterprise_linux:jboss-marshalling, p-cpe:/a:redhat:enterprise_linux:log4j-jboss-logmanager, p-cpe:/a:redhat:enterprise_linux:jboss-jsp-api_2.2_spec, p-cpe:/a:redhat:enterprise_linux:jbossas-standalone, p-cpe:/a:redhat:enterprise_linux:cxf-xjc-boolean, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee-deployment, p-cpe:/a:redhat:enterprise_linux:jboss-as-process-controller, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-impl, p-cpe:/a:redhat:enterprise_linux:jboss-as-naming, p-cpe:/a:redhat:enterprise_linux:jboss-as-platform-mbean, p-cpe:/a:redhat:enterprise_linux:wss4j, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jbossas-core, p-cpe:/a:redhat:enterprise_linux:jboss-as-xts, p-cpe:/a:redhat:enterprise_linux:jboss-as-transactions, p-cpe:/a:redhat:enterprise_linux:jboss-as-webservices, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsr77, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-http, p-cpe:/a:redhat:enterprise_linux:jbossas-appclient, p-cpe:/a:redhat:enterprise_linux:hibernate4-envers, p-cpe:/a:redhat:enterprise_linux:infinispan, p-cpe:/a:redhat:enterprise_linux:jboss-as-embedded, p-cpe:/a:redhat:enterprise_linux:jboss-as-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-as-jpa, p-cpe:/a:redhat:enterprise_linux:jboss-as-protocol, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller-client, p-cpe:/a:redhat:enterprise_linux:hibernate4-infinispan, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxr, p-cpe:/a:redhat:enterprise_linux:jboss-as-jdr, p-cpe:/a:redhat:enterprise_linux:jbossws-spi, p-cpe:/a:redhat:enterprise_linux:jboss-ejb-client, p-cpe:/a:redhat:enterprise_linux:mod_ssl, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsf, p-cpe:/a:redhat:enterprise_linux:infinispan-cachestore-jdbc, p-cpe:/a:redhat:enterprise_linux:jboss-remote-naming, p-cpe:/a:redhat:enterprise_linux:jbossas-hornetq-native, p-cpe:/a:redhat:enterprise_linux:jboss-as-pojo, p-cpe:/a:redhat:enterprise_linux:jboss-as-mail, p-cpe:/a:redhat:enterprise_linux:jboss-as-ejb3, p-cpe:/a:redhat:enterprise_linux:jboss-as-system-jmx

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2013/9/4

參考資訊

CVE: CVE-2012-3499, CVE-2012-4558, CVE-2013-1862, CVE-2013-1896, CVE-2013-1921, CVE-2013-2172, CVE-2013-4112, CVE-2013-6495

BID: 58165, 59826, 60846, 61129, 61179, 62256

CWE: 290, 79

RHSA: 2013:1208