RHEL 4:JBoss EAP (RHSA-2008:0151)
high Nessus 插件 ID 63848
语言:
简介
远程 Red Hat 主机缺少一个或多个安全更新。描述
更新后的 JBoss Enterprise Application Platform (JBEAP) 程序包修复了多个安全问题,现在可用。Red Hat 安全响应团队将此更新评级为具有中等安全影响。
JBoss Enterprise Application Platform (JBEAP) 是 Java 2 Platform Enterprise Edition (J2EE) 应用程序的中间件平台。
Red Hat Enterprise Linux 4 的此 JBEAP 版本包含 JBoss Application Server 和 JBoss Seam。此版本充当 JBEAP 4.2.0.GA 的替代品。它修复多个安全问题:
JFreeChart 组件容易受到多种跨站脚本 (XSS) 漏洞的攻击。攻击者可误用图像映射功能,通过图表区域的多个属性注入任意 Web 脚本或 HTML。(CVE-2007-6306)
在 HSQLDB 组件中发现一个通过暴露静态 Java 方法而造成的漏洞。攻击者可利用此漏洞执行任意静态 Java 方法。(CVE-2007-4575)
org.jboss.seam.framework.Query 类中的 setOrder 方法未正确验证用户提供的参数。此漏洞允许远程攻击者通过 order 参数注入并执行任意 Enterprise JavaBeans Query Language (EJB QL) 命令。
(CVE-2007-6433)
这些更新后的程序包包含此处未列出的缺陷补丁及增强。有关完整列表,请参阅 JBEAP 4.2.0CP02 发行说明:
http://redhat.com/docs/manuals/jboss/jboss-eap-4.2.0.cp02/readme.html
警告:应用此更新之前,请备份 JBEAP 'server/[configuration]/deploy/' 目录以及任何其他自定义配置文件。
建议所有 Red Hat Enterprise Linux 4 上的 JBEAP 用户升级这些更新后的程序包,其中解决了这些问题。
解决方案
更新受影响的数据包。另见
https://access.redhat.com/security/cve/cve-2007-4575
https://access.redhat.com/security/cve/cve-2007-5461
https://access.redhat.com/security/cve/cve-2007-6306
https://access.redhat.com/security/cve/cve-2007-6433
https://access.redhat.com/security/cve/cve-2008-0002
插件详情
严重性: High
ID: 63848
文件名: redhat-RHSA-2008-0151.nasl
版本: 1.17
类型: local
代理: unix
发布时间: 2013/1/24
最近更新时间: 2021/1/14
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: High
分数: 7.4
CVSS v2
风险因素: High
基本分数: 9.3
时间分数: 7.7
矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:concurrent, p-cpe:/a:redhat:enterprise_linux:glassfish-jaf, p-cpe:/a:redhat:enterprise_linux:glassfish-javamail, p-cpe:/a:redhat:enterprise_linux:glassfish-jsf, p-cpe:/a:redhat:enterprise_linux:glassfish-jstl, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-javadoc, p-cpe:/a:redhat:enterprise_linux:hsqldb, p-cpe:/a:redhat:enterprise_linux:jacorb, p-cpe:/a:redhat:enterprise_linux:jboss-aop, p-cpe:/a:redhat:enterprise_linux:jboss-cache, p-cpe:/a:redhat:enterprise_linux:jboss-common, p-cpe:/a:redhat:enterprise_linux:jboss-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-seam, p-cpe:/a:redhat:enterprise_linux:jboss-seam-docs, p-cpe:/a:redhat:enterprise_linux:jbossas, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jbossws-jboss42, p-cpe:/a:redhat:enterprise_linux:jbossws-wsconsume-impl, p-cpe:/a:redhat:enterprise_linux:jbossxb, p-cpe:/a:redhat:enterprise_linux:jcommon, p-cpe:/a:redhat:enterprise_linux:jfreechart, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs-examples, p-cpe:/a:redhat:enterprise_linux:wsdl4j, cpe:/o:redhat:enterprise_linux:4
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2008/4/2
漏洞发布日期: 2007/10/15
可利用的方式
CANVAS (CANVAS)
参考资料信息
CVE: CVE-2007-4575, CVE-2007-5461, CVE-2007-6306, CVE-2007-6433, CVE-2008-0002