RHEL 5 / 6 : JBoss EAP (RHSA-2014:0204)

low Nessus Plugin ID 72678

語系：

概要

遠端 Red Hat 主機缺少安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 5 和 6 的更新版 Red Hat Jboss Enterprise Application Platform 6.2.1 套件，可修正一個安全性問題。

Red Hat 安全性回應團隊已將此更新評等為具有低安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Red Hat JBoss Enterprise Application Platform 6 是一個以 JBoss Application Server 7 為基礎，並提供給 Java 應用程式使用的平台。

據發現，Red Hat JBoss Enterprise Application Platform 6 提供的安全性稽核功能會以純文字記錄要求參數。這可能導致使用 BASIC 或 FORM 驗證時，將密碼記錄到稽核記錄檔中。有權存取稽核記錄檔的本機攻擊者可能利用此瑕疵，取得應用程式或伺服器驗證認證。
(CVE-2014-0058)

提供用以修正 CVE-2014-0058 的修補程式也允許針對稽核記錄擷取的 web 要求中的下列元件提供更大的控制權：

- parameters - cookies - headers - attributes

也可使用遮罩功能選擇性遮罩標頭、參數、Cookie 和屬性的部分元素。此功能來自此修補程式引入的兩個系統內容：

1) org.jboss.security.web.audit

描述：此內容可控制 Web 要求的安全性稽核細微度。

可能的值：off = 停用稽核 web 要求 headers = 僅稽核 web 要求的標頭 cookies = 僅稽核 web 要求的 cookie parameters = 僅稽核 web 要求的參數 attributes = 僅稽核 web 要求的屬性 headers,cookies,parameters = 稽核 web 要求的標頭、cookie 和參數 headers,cookies = 稽核 web 要求的標頭和 cookie

預設值：headers, parameters

範例：設定「org.jboss.security.web.audit=off」可對 web 要求完全停用安全性稽核。設定「org.jboss.security.web.audit=headers」可僅對 web 要求中的標頭啟用安全性稽核。

2) org.jboss.security.web.audit.mask

描述：此內容可用於指定要與 web 要求的標頭、參數、cookie 和屬性比對的字串清單。任何符合指定遮罩的元素，都將排除在安全性稽核記錄之外。

可能的值：任何以逗號分隔並指示標頭、參數、cookie 和屬性金鑰的字串。

預設值：j_password、authorization

請注意，目前的遮罩比對設為模糊比對，非嚴格比對例如，「authorization」遮罩會遮罩稱為授權的標頭，以及稱為「custom_authorization」的參數。未來版本可能引入嚴格遮罩功能。

警告：套用此更新之前，請先備份現有的 Red Hat JBoss Enterprise Application Platform 安裝和已部署的應用程式。

建議所有在 Red Hat Enterprise Linux 5 和 6 中使用 Red Hat JBoss Enterprise Application Platform 6.2.1 的使用者皆升級至這些更新版套件。必須重新啟動 JBoss 伺服器處理程序，此更新才會生效。