RHEL 6:Red Hat JBoss Web 伺服器 2.0.1 更新 (中等) (RHSA-2013:1012)
medium Nessus Plugin ID 76238
語言:
概要
遠端 Red Hat 主機缺少一個或多個安全性更新。說明
遠端 Redhat Enterprise Linux 6 主機上安裝的套件受到 RHSA-2013:1012 公告中提及的多個弱點影響。Red Hat JBoss Web Server 是一組已完全整合並經過認證的元件,可用於主控 Java Web 應用程式。它由 Apache HTTP Server、Apache Tomcat Servlet 容器、Apache Tomcat Connector (mod_jk)、JBoss HTTP Connector (mod_cluster)、Hibernate 和 Tomcat Native 程式庫所組成。
此版本將做為 Red Hat JBoss Web Server 2.0.0 的取代套件,其中含有數個錯誤修正。請參閱 Red Hat JBoss Web Server 2.0.1 版本資訊,瞭解最重要的變更資訊,相關資訊將於近期發布至 https://access.redhat.com/site/documentation/
此版本也已修正下列安全性問題:
在 Apache HTTP Server mod_proxy_balancer 模組的管理員 Web 介面中,發現跨網站指令碼 (XSS) 瑕疵。如果遠端攻擊者可誘騙已登入管理員 Web 介面的使用者造訪特製的 URL,這會導致在使用者的管理員介面工作階段的內容中執行任意 Web 指令碼。
(CVE-2012-4558)
在 Apache HTTP Server mod_info、mod_status、mod_imagemap、mod_ldap 和 mod_proxy_ftp 模組中發現跨網站指令碼 (XSS) 瑕疵。如果攻擊者能夠使受害者的瀏覽器以特製的主機標頭產生 HTTP 要求,他們就可能利用這些缺陷執行 XSS 攻擊。(CVE-2012-3499)
在 Tomcat FormAuthenticator 模組中發現一個工作階段固定瑕疵。
在短時間內,如果遠端攻擊者會在使用者登入時傳送要求,則可能導致攻擊者的要求如同是使用者傳送般進行處理。(CVE-2013-2067)
在 Tomcat 區塊傳輸編碼輸入篩選處理 CRLF 序列的方式中發現一個拒絕服務瑕疵。遠端攻擊者可能利用此瑕疵傳送過長的要求,進而佔用 Tomcat 伺服器上的網路頻寬、CPU 和記憶體。區塊傳輸編碼預設為啟用。(CVE-2012-3544)
在 Tomcat 7 非同步內容實作於特定情況下執行要求管理的方式中發現一個瑕疵。如果應用程式使用 AsyncListeners 並擲回 RuntimeExceptions,Tomcat 可能傳送包含來自不同使用者要求的資訊之回覆,從而可能導致敏感資訊洩漏。此問題只會影響 Tomcat 7。(CVE-2013-2071)
注意:不在主機上安裝 Red Hat JBoss Web Server 2,因其已經安裝 Red Hat JBoss Web Server 1。
警告:套用該更新之前,請先備份目前的 Red Hat JBoss Web Server 安裝 (包括所有應用程式和設定檔)。
建議所有在 Red Hat Enterprise Linux 6 中使用 Red Hat JBoss Web Server 2.0.0 的使用者皆升級至 Red Hat JBoss Web Server 2.0.1。必須重新啟動 JBoss 伺服器處理程序,此更新才會生效。
Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的套件。另請參閱
http://www.nessus.org/u?7c508f30
http://www.nessus.org/u?8925bcb8
https://access.redhat.com/errata/RHSA-2013:1012
https://access.redhat.com/security/updates/classification/#moderate
https://access.redhat.com/site/documentation/
https://bugzilla.redhat.com/show_bug.cgi?id=915883
https://bugzilla.redhat.com/show_bug.cgi?id=915884
https://bugzilla.redhat.com/show_bug.cgi?id=961779
Plugin 詳細資訊
嚴重性: Medium
ID: 76238
檔案名稱: redhat-RHSA-2013-1012.nasl
版本: 1.20
類型: local
代理程式: unix
已發布: 2014/6/26
已更新: 2025/3/21
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.6
Vendor
Vendor Severity: Moderate
CVSS v2
風險因素: Medium
基本分數: 6.8
時間性分數: 5.9
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2013-2067
CVSS v3
風險因素: Medium
基本分數: 6.3
時間性分數: 6
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
時間媒介: CVSS:3.0/E:H/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:redhat:enterprise_linux:mod_cluster-tomcat6, p-cpe:/a:redhat:enterprise_linux:tomcat6, p-cpe:/a:redhat:enterprise_linux:mod_cluster, p-cpe:/a:redhat:enterprise_linux:httpd-tools, p-cpe:/a:redhat:enterprise_linux:tomcat6-servlet-2.5-api, p-cpe:/a:redhat:enterprise_linux:dom4j, p-cpe:/a:redhat:enterprise_linux:tomcat7-lib, p-cpe:/a:redhat:enterprise_linux:tomcat6-admin-webapps, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:tomcat7-javadoc, p-cpe:/a:redhat:enterprise_linux:mod_cluster-tomcat7, p-cpe:/a:redhat:enterprise_linux:apache-commons-pool-eap6, p-cpe:/a:redhat:enterprise_linux:tomcat6-javadoc, p-cpe:/a:redhat:enterprise_linux:tomcat-native, p-cpe:/a:redhat:enterprise_linux:apache-commons-pool-tomcat-eap6, p-cpe:/a:redhat:enterprise_linux:tomcat7-el-1.0-api, p-cpe:/a:redhat:enterprise_linux:tomcat7-log4j, p-cpe:/a:redhat:enterprise_linux:tomcat7-docs-webapp, p-cpe:/a:redhat:enterprise_linux:tomcat6-webapps, p-cpe:/a:redhat:enterprise_linux:tomcat7-admin-webapps, p-cpe:/a:redhat:enterprise_linux:httpd-manual, p-cpe:/a:redhat:enterprise_linux:tomcat7, p-cpe:/a:redhat:enterprise_linux:tomcat6-log4j, p-cpe:/a:redhat:enterprise_linux:mod_cluster-demo, p-cpe:/a:redhat:enterprise_linux:mod_jk-ap22, p-cpe:/a:redhat:enterprise_linux:ecj3, p-cpe:/a:redhat:enterprise_linux:mod_jk-manual, p-cpe:/a:redhat:enterprise_linux:apache-commons-daemon-eap6, p-cpe:/a:redhat:enterprise_linux:httpd-devel, p-cpe:/a:redhat:enterprise_linux:tomcat7-webapps, p-cpe:/a:redhat:enterprise_linux:mod_ssl, p-cpe:/a:redhat:enterprise_linux:tomcat6-jsp-2.1-api, p-cpe:/a:redhat:enterprise_linux:tomcat6-docs-webapp, p-cpe:/a:redhat:enterprise_linux:tomcat6-el-1.0-api, p-cpe:/a:redhat:enterprise_linux:tomcat7-jsp-2.2-api, p-cpe:/a:redhat:enterprise_linux:mod_jk, p-cpe:/a:redhat:enterprise_linux:httpd, p-cpe:/a:redhat:enterprise_linux:apache-commons-daemon-jsvc-eap6, p-cpe:/a:redhat:enterprise_linux:tomcat6-lib, p-cpe:/a:redhat:enterprise_linux:mod_cluster-native, p-cpe:/a:redhat:enterprise_linux:tomcat7-servlet-3.0-api
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2013/7/3
弱點發布日期: 2013/2/26
參考資訊
CVE: CVE-2012-3499, CVE-2012-3544, CVE-2012-4558, CVE-2013-2067, CVE-2013-2071