RHEL 5 / 6:JBoss Web Server (RHSA-2012:0680)

high Nessus Plugin ID 78924

Synopsis

遠端 Red Hat 主機缺少一個或多個安全性更新。

描述

現已提供適用於 Red Hat Enterprise Linux 5 和 6 之 JBoss Enterprise Web Server 1.0.2 的更新版 tomcat5 套件,可修正多個安全性問題和兩個錯誤。

Red Hat 安全性回應團隊已將此更新評等為具有中等安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。

Apache Tomcat 是適用於 Java Servlet 和 JavaServer Pages (JSP) 技術的 Servlet 容器。

JBoss Enterprise Web Server 隨附 Tomcat 原生程式庫,可提供適用於 Tomcat 的 Apache Portable Runtime (APR) 支援。此文字中的 APR 參照指的是 Tomcat 原生實作,並非任何其他 apr 套件。

此更新包含 JBPAPP-4873 和 JBPAPP-6133 中記錄的錯誤修正。此外,還可修正下列安全性問題:

在 Tomcat 處理 HTTP 摘要式驗證的方式中,發現了多個瑕疵。這些瑕疵會造成 Tomcat HTTP 摘要式驗證實作變弱,容易遭受 HTTP BASIC 驗證的某些弱點攻擊,例如會讓遠端攻擊者執行工作階段播放攻擊。(CVE-2011-1184、CVE-2011-5062、CVE-2011-5063、CVE-2011-5064)

在 Coyote (org.apache.coyote.ajp.AjpProcessor) 及 APR (org.apache.coyote.ajp.AjpAprProcessor) Tomcat AJP (Apache JServ Protocol) 連接器處理特定 POST 要求的方式中發現一個瑕疵。攻擊者可傳送特製要求,使得該連接器將訊息內文當作新要求來處理。這樣會導致插入任意 AJP,而可能進一步造成攻擊者繞過 Web 應用程式的驗證檢查,獲得其無法以其他方式存取的資訊的存取權限。當 APR 程式庫不存在時,則預設使用 JK (org.apache.jk.server.JkCoyoteHandler) 連接器。JK 連接器未受到此瑕疵的影響。(CVE-2011-3190)

據發現,Java hashCode() 方法實作容易受到可預測的雜湊衝突影響。遠端攻擊者可利用這個瑕疵,透過傳送含有名稱對應到相同雜湊值之大量參數的 HTTP 要求,造成 Tomcat 使用過多的 CPU 時間。這個更新會導入每個要求所要處置參數數目的上限,以減輕這個問題。
預設參數數目上限為 512,標頭數目上限為 128。設定 org.apache.tomcat.util.http.Parameters.MAX_COUNT 及 org.apache.tomcat.util.http.MimeHeaders.MAX_COUNT 系統內容,便可更改這些預設值。
(CVE-2011-4858)

據發現,Tomcat 未有效處置大量參數及大參數值。遠端攻擊者可透過傳送含有大量參數或大參數值的 HTTP 要求,造成 Tomcat 使用過多的 CPU 時間。
這個更新會導入每個要求所要處置參數和標頭的數目上限,以解決這個問題。請參閱 CVE-2011-4858 描述來瞭解有關 org.apache.tomcat.util.http.Parameters.MAX_COUNT 及 org.apache.tomcat.util.http.MimeHeaders.MAX_COUNT 系統內容的資訊。
(CVE-2012-0022)

在 Tomcat MemoryUserDatabase 中發現一個瑕疵。透過 JMX 用戶端建立新使用者時,若發生執行階段例外狀況,該使用者的密碼將記錄於 Tomcat 記錄檔。注意:依照預設,只有系統管理員才能存取這類記錄檔。(CVE-2011-2204)

當使用 HTTP APR 或 NIO (非封鎖 I/O) 連接器時,在 Tomcat 處理 sendfile 要求屬性的方式中發現一個瑕疵。在 Tomcat 執行個體上執行的惡意 Web 應用程式可使用此瑕疵來繞過安全性管理員限制,取得原本無法存取的檔案之存取權,或是可能終止 Java 虛擬機器 (JVM)。在 JBoss Enterprise Web Server 中預設使用 HTTP NIO 連接器。(CVE-2011-2526)

Red Hat 要感謝 oCERT 報告 CVE-2011-4858,以及 Apache Tomcat 專案報告 CVE-2011-2526。oCERT 確認 Julian Wälde 和 Alexander Klink 是 CVE-2011-4858 問題的原始報告者。

Tomcat 的使用者應升級至這些更新版套件,其可解決這些問題。必須重新啟動 Tomcat,此更新才能生效。

解決方案

更新受影響的套件。

另請參閱

http://tomcat.apache.org/security-5.html

https://issues.jboss.org/browse/JBPAPP-4873?_sscc=t

https://issues.jboss.org/browse/JBPAPP-6133?_sscc=t

https://access.redhat.com/errata/RHSA-2012:0680

https://access.redhat.com/security/cve/cve-2011-2526

https://access.redhat.com/security/cve/cve-2011-3190

https://access.redhat.com/security/cve/cve-2011-1184

https://access.redhat.com/security/cve/cve-2011-2204

https://access.redhat.com/security/cve/cve-2011-5062

https://access.redhat.com/security/cve/cve-2011-5063

https://access.redhat.com/security/cve/cve-2011-5064

https://access.redhat.com/security/cve/cve-2011-4858

https://access.redhat.com/security/cve/cve-2012-0022

Plugin 詳細資訊

嚴重性: High

ID: 78924

檔案名稱: redhat-RHSA-2012-0680.nasl

版本: 1.12

類型: local

代理程式: unix

已發布: 2014/11/8

已更新: 2021/1/14

支持的傳感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent

風險資訊

VPR

風險因素: Medium

分數: 5.8

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 5.9

媒介: AV:N/AC:L/Au:N/C:P/I:P/A:P

時間媒介: E:POC/RL:OF/RC:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:tomcat5, p-cpe:/a:redhat:enterprise_linux:tomcat5-admin-webapps, p-cpe:/a:redhat:enterprise_linux:tomcat5-common-lib, p-cpe:/a:redhat:enterprise_linux:tomcat5-jasper, p-cpe:/a:redhat:enterprise_linux:tomcat5-jasper-eclipse, p-cpe:/a:redhat:enterprise_linux:tomcat5-jasper-javadoc, p-cpe:/a:redhat:enterprise_linux:tomcat5-jsp-2.0-api, p-cpe:/a:redhat:enterprise_linux:tomcat5-jsp-2.0-api-javadoc, p-cpe:/a:redhat:enterprise_linux:tomcat5-parent, p-cpe:/a:redhat:enterprise_linux:tomcat5-server-lib, p-cpe:/a:redhat:enterprise_linux:tomcat5-servlet-2.4-api, p-cpe:/a:redhat:enterprise_linux:tomcat5-servlet-2.4-api-javadoc, p-cpe:/a:redhat:enterprise_linux:tomcat5-webapps, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:6

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2012/5/21

弱點發布日期: 2011/6/29

參考資訊

CVE: CVE-2011-1184, CVE-2011-2204, CVE-2011-2526, CVE-2011-3190, CVE-2011-4858, CVE-2011-5062, CVE-2011-5063, CVE-2011-5064, CVE-2012-0022

BID: 48456, 48667, 49353, 49762, 51200, 51447

RHSA: 2012:0680