远程主机上运行的 IBM WebSphere Application Server 版本为 6.1.x 到 6.1.0.47、低于 7.0.0.43 的 7.0.0.x、低于 8.0.0.13 的 8.0.0.x 或低于 8.5.5.10 的 8.5.0.x。因此，该服务器受到 Apache Standard Taglib 子部件中的一个 XML 外部实体注入漏洞的影响，这是不正确地配置接受来自不受信任来源的 XML 外部实体的 XML 解析器所致。未经身份验证的远程攻击者可利用此问题，通过特别构建的 XML 数据在系统上执行任意代码。

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。

远程主机上安装的 WebLogic Server 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0 版本受到 2021 年 7 月 CPU 公告中提及的多个漏洞的影响。

  - Oracle Fusion Middleware 的 Oracle WebLogic Server  产品存在漏洞（组件：Core）。
    支持的版本中受影响的为 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0。
    可轻松利用的漏洞允许未经身份验证的攻击者通过 T3、IIOP 进行网络访问，从而破坏 Oracle WebLogic Server。成功利用此漏洞进行攻击可导致接管 Oracle WebLogic Server。（CVE-2021-2394、CVE-2021-2397）

  - Oracle Fusion Middleware 的 Oracle WebLogic Server  产品存在漏洞（组件：Security）。
    支持的版本中受影响的为 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0。
    可轻松利用的漏洞允许未经身份验证的攻击者通过 T3、IIOP 进行网络访问，从而破坏 Oracle WebLogic Server。成功利用此漏洞进行攻击可导致接管 Oracle WebLogic Server。(CVE-2021-2382)

请注意，Nessus 尚未测试此问题，而是只依赖于应用程序自我报告的版本号。

David Jorm 发现 Apache Standard Taglibs 未正确处理外部 XML 实体。远程攻击者可能利用此问题执行任意代码或执行其他外部 XML 实体攻击。

请注意，Tenable Network Security 已直接从 Ubuntu 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行了自动清理和排版。

更新后的 jboss-ec2-eap 程序包添加了一个增强功能并解决了一个安全问题，现在可用于 Red Hat Enterprise Linux 6 上的 Red Hat JBoss Enterprise Application Platform 6.4.6。

Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

Red Hat JBoss Enterprise Application Platform 6 是适用于 Java EE 应用程序的平台。它基于 JBoss Application Server 7 并集成了多项开源项目，以提供完整的 Java EE 平台解决方案。

发现 Java 标准标签库 (JSTL) 允许处理不受信任的 XML 文档，以利用外部实体引用，这些引用可以访问主机系统上的资源，进而可能允许执行任意代码。(CVE-2015-0254)

注意：Tag Library 用户应用此更新后可能需要采取其他步骤。有关其他步骤的详细说明，请访问以下网址：https://access.redhat.com/solutions/1584363

Red Hat 在此感谢 IIX 的 David Jorm 和 Apache Software Foundation 报告 CVE-2015-0254 缺陷。

* jboss-ec2-eap 程序包为 Amazon Web Services (AWS) Elastic Compute Cloud (EC2) 上运行的 Red Hat JBoss Enterprise Application Platform 提供脚本。程序包已通过此更新确保与 Red Hat JBoss Enterprise Application Platform 6.4.6 的兼容性。

建议所有 EAP 6.4.5 jboss-ec2-eap 用户都升级到这些更新后的程序包。

jakarta-taglibs-standard 已更新，修复了一个安全问题。

修复了此安全问题：

- CVE-2015-0254：1.2.3 之前的 Apache Standard Taglibs 允许远程攻击者通过构建的 XSLT 扩展来执行任意代码或进行外部 XML 实体 (XXE) 攻击 (bsc#920813)。

来自 Red Hat 安全公告 2015:1695：

更新后的 jakarta-taglibs-standard 程序包修复了一个安全问题，现在可用于 Red Hat Enterprise Linux 6 和 7。

Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

jakarta-taglibs-standard 是 Java 标准标签库 (JSTL)。此库与 Tomcat 和 Java 服务器页面 (JSP) 配合使用。

发现 Java 标准标签库 (JSTL) 允许处理不受信任的 XML 文档，以利用外部实体引用，这些引用可以访问主机系统上的资源，进而可能允许执行任意代码。(CVE-2015-0254)

注意：jakarta-taglibs-standard 用户在应用此更新后可能需要进行额外的步骤。有关额外步骤的详细说明，请参阅以下网址：

https://access.redhat.com/solutions/1584363

建议所有 jakarta-taglibs-standard 用户升级这些更新后的程序包，其中包含用于修正此问题的向后移植的修补程序。

更新后的 jakarta-taglibs-standard 程序包修复了一个安全问题，现在可用于 Red Hat Enterprise Linux 6 和 7。

Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

jakarta-taglibs-standard 是 Java 标准标签库 (JSTL)。此库与 Tomcat 和 Java 服务器页面 (JSP) 配合使用。

发现 Java 标准标签库 (JSTL) 允许处理不受信任的 XML 文档，以利用外部实体引用，这些引用可以访问主机系统上的资源，进而可能允许执行任意代码。(CVE-2015-0254)

注意：jakarta-taglibs-standard 用户在应用此更新后可能需要进行额外的步骤。有关额外步骤的详细说明，请参阅以下网址：

https://access.redhat.com/solutions/1584363

建议所有 jakarta-taglibs-standard 用户升级这些更新后的程序包，其中包含用于修正此问题的向后移植的修补程序。

更新后的程序包提供了Red Hat JBoss Enterprise Application Platform 6.4.6，修复了多个缺陷，添加了多种增强功能，并解决了一个安全问题，现在可用于 Red Hat Enterprise Linux 6。

Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

Red Hat JBoss Enterprise Application Platform 6 是适用于基于 JBoss Application Server 7 的 Java 应用程序的平台。

此版本解决了以下安全问题：

发现 Java 标准标签库 (JSTL) 允许处理不受信任的 XML 文档，以利用外部实体引用，这些引用可以访问主机系统上的资源，进而可能允许执行任意代码。(CVE-2015-0254)

注意：Tag Library 用户应用此更新后可能需要采取其他步骤。有关其他步骤的详细说明，请访问以下网址：https://access.redhat.com/solutions/1584363

Red Hat 在此感谢 IIX 的 David Jorm 和 Apache Software Foundation 报告 CVE-2015-0254 缺陷。

此版本可替换 Red Hat JBoss Enterprise Application Platform 6.4.5，并包含缺陷补丁和多项增强。
很快将可通过“参考”中链接的 Red Hat JBoss Enterprise Application Platform 6.4.6 发行说明查看这些更改的文档。

建议 Red Hat Enterprise Linux 6 中的所有 Red Hat JBoss Enterprise Application Platform 6.4 用户升级这些更新后的程序包。必须重新启动 JBoss 服务器进程才能使更新生效。

eap7-jboss-ec2-eap 的更新可用于 RHEL 6 的 Red Hat JBoss Enterprise Application Platform 7.0 和 RHEL 7 的 Red Hat JBoss Enterprise Application Platform 7.0。Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其针对每个漏洞给出了详细的严重性等级。eap7-jboss-ec2-eap 程序包为 Amazon Web Service (AWS) Elastic Compute Cloud (EC2) 上运行的 Red Hat JBoss Enterprise Application Platform 提供脚本。通过此更新，已更新 eap7-jboss-ec2-eap 程序包以确保兼容 Red Hat JBoss Enterprise Application Platform 7.0.2。请参阅“参考”部分链接的 JBoss Enterprise Application Platform 7.0.2 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。安全修复： * 发现 Java 标准标签库 (JSTL) 允许处理不受信任的 XML 文档，以利用外部实体引用，这些引用可以访问主机系统上的资源，进而可能允许执行任意代码。(CVE-2015-0254) * 据报告，由于在将用户输入作为部分 HTTP 标头值之前，未充分清理和验证用户输入，EAP 7 Application 服务器/Undertow Web 服务器易受到任意 HTTP 标头注入以及响应拆分攻击。(CVE-2016-4993) * 域控制器不会将其管理 RBAC 配置传递到某些从属。攻击者可利用此问题提升其权限。(CVE-2016-5406) Red Hat 在此感谢 Calum Hutton (NCC Group) 和 Mikhail Egorov (Odin) 报告 CVE-2016-4993。CVE-2016-5406 问题由 Tomaz Cerar (Red Hat) 发现。

現已提供適用於 Red Hat Enterprise Linux 6 上的 Red Hat JBoss Enterprise Application Platform 6.4.6 之更新版 jboss-ec2-eap 套件，其新增了一個增強功能且可解決一個安全性問題。

Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Red Hat JBoss Enterprise Application Platform 6 是一款供 Java EE 應用程式使用的平台。其以 JBoss Application Server 7 為基礎，並納入多個開放原始碼專案，可提供完整的 Java EE 平台解決方案。

據發現，Java Standard Tag Library (JSTL) 允許處理未受信任的 XML 文件利用外部實體參照，導致可以存取主機系統上的資源，且可能進而允許任意程式碼執行。(CVE-2015-0254)

注意：Tag Library 使用者套用此更新後可能需要採取其他步驟。其他步驟的詳細指示可至以下網址取得：https://access.redhat.com/solutions/1584363

Red Hat 要感謝 IIX 的 David Jorm 和 Apache Software Foundation 報告 CVE-2015-0254 瑕疵。

* jboss-ec2-eap 套件提供適用於 Amazon Web Services (AWS) Elastic Compute Cloud (EC2) 上執行之 Red Hat JBoss Enterprise Application Platform 的指令碼。執行此更新版套件後，可確保與 Red Hat JBoss Enterprise Application Platform 6.4.6 相容。

所有 EAP 6.4.5 jboss-ec2-eap 使用者皆應升級至這些更新版套件。

David Jorm 發現，Apache Standard Taglibs 未正確處理外部 XML 實體。遠端攻擊者可能利用此問題來執行任意程式碼或執行其他外部 XML 實體攻擊。

請注意，Tenable Network Security 已直接從 Ubuntu 安全性公告擷取前述描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

jakarta-taglibs-standard 已更新，可修正一個安全性問題。

已修正此安全性問題：

- CVE-2015-0254：Apache Standard Taglibs 1.2.3 之前版本允許遠端攻擊者透過特製的 XSLT 延伸模組，執行任意程式碼或發動外部 XML 實體 (XXE) 攻擊 (bsc#920813)。

遠端主機上執行的 IBM WebSphere Application Server 為 6.1.x 到 6.1.0.47 版、7.0.0.43 之前的 7.0.0.x 版、8.0.0.13 之前的 8.0.0.x 版或 8.5.5.10 之前的 8.5.0.x 版。因此，會受到 Apache Standard Taglibs 子元件中一個 XML 外部實體插入弱點影響，這是因為不正確地設定接受來自未受信任來源之 XML 外部實體的 XML 剖析器所導致。未經過驗證的遠端攻擊者可惡意利用此弱點，透過特製的 XML 資料在系統上執行任意程式碼。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 WebLogic Server 版本10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0 受到 2021 年 7 月 CPU 公告中提及的多個弱點影響。

  - Oracle Fusion Middleware 的 Oracle WebLogic Server 產品中存在弱點 (元件：Core)。
    受影響的支援版本是 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0。
    攻擊此弱點的難度較小，經由 T3、IIOP 存取網路的未經驗證攻擊者可以藉此入侵 Oracle WebLogic Server。若成功攻擊此弱點，則可能導致接管 Oracle WebLogic Server。(CVE-2021-2394、CVE-2021-2397)

  - Oracle Fusion Middleware 的 Oracle WebLogic Server 產品中存在弱點 (元件：Security)。
    受影響的支援版本是 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0。
    攻擊此弱點的難度較小，經由 T3、IIOP 存取網路的未經驗證攻擊者可以藉此入侵 Oracle WebLogic Server。若成功攻擊此弱點，則可能導致接管 Oracle WebLogic Server。(CVE-2021-2382)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

ID	名稱	產品	系列	已發布	已更新	嚴重性
142141	IBM WebSphere Application Server 6.1.0.x <= 6.1.0.47 / 7.0.0.x < 7.0.0.43 / 8.0.0.x < 8.0.0.13 / 8.5.x < 8.5.5.10 XXE (CVE-2015-0254)	Nessus	Web Servers	2020/10/30	2020/11/30	critical
152035	Oracle WebLogic Server 多个漏洞（2021 年 7 月 CPU）	Nessus	Misc.	2021/7/23	2023/12/12	critical
82471	Ubuntu 14.04 LTS：Apache Standard Taglibs 漏洞 (USN-2551-1)	Nessus	Ubuntu Local Security Checks	2015/3/31	2023/10/23	high
88588	RHEL 6：jboss-ec2-eap (RHSA-2016:0124)	Nessus	Red Hat Local Security Checks	2016/2/5	2021/6/3	high
86393	openSUSE 安全更新：jakarta-taglibs-standard (openSUSE-2015-658)	Nessus	SuSE Local Security Checks	2015/10/15	2021/1/19	high
85711	Oracle Linux 6 / 7：jakarta-taglibs-standard (ELSA-2015-1695)	Nessus	Oracle Linux Local Security Checks	2015/9/1	2021/6/3	high
85718	RHEL 6 / 7：jakarta-taglibs-standard (RHSA-2015:1695)	Nessus	Red Hat Local Security Checks	2015/9/1	2021/6/3	high
88618	RHEL 6：JBoss EAP (RHSA-2016:0122)	Nessus	Red Hat Local Security Checks	2016/2/8	2021/6/3	high
112172	RHEL 6 / 7 : eap7-jboss-ec2-eap (RHSA-2016:1840)	Nessus	Red Hat Local Security Checks	2018/8/29	2024/8/14	high
88588	RHEL 6 : jboss-ec2-eap (RHSA-2016:0124)	Nessus	Red Hat Local Security Checks	2016/2/5	2021/6/3	high
82471	Ubuntu 14.04 LTS：Apache Standard Taglibs 弱點 (USN-2551-1)	Nessus	Ubuntu Local Security Checks	2015/3/31	2023/10/23	high
86393	openSUSE 安全性更新：jakarta-taglibs-standard (openSUSE-2015-658)	Nessus	SuSE Local Security Checks	2015/10/15	2021/1/19	high
142141	IBM WebSphere Application Server 6.1.0.x <= 6.1.0.47 / 7.0.0.x < 7.0.0.43 / 8.0.0.x < 8.0.0.13 / 8.5.x < 8.5.5.10 XXE (CVE-2015-0254)	Nessus	Web Servers	2020/10/30	2020/11/30	critical
152035	Oracle WebLogic Server 多個弱點 (2021 年 7 月 CPU)	Nessus	Misc.	2021/7/23	2023/12/12	critical

偵測

搜尋 Plugin

critical

critical

high

high

high

high

high

high

high

high

high

high

critical

critical