RHEL 5:JBoss EAP (RHSA-2008:0213)
high Nessus 插件 ID 63851
语言:
简介
远程 Red Hat 主机缺少一个或多个安全更新。描述
新的 JBoss Enterprise Application Platform (JBEAP) 程序包,其中包含 4.2.0.CP02 版本,现在可用于 Red Hat Enterprise Linux 5。Red Hat 安全响应团队将此更新评级为具有中等安全影响。
JBEAP 是 Java 2 Platform Enterprise Edition (J2EE) 应用程序的中间件平台。
Red Hat Enterprise Linux 5 的此 JBEAP 版本包含 JBoss Application Server 和 JBoss Seam,充当 JBEAP 4.2.0.GA_CP01 的替代品。这些更新后的程序包不但修复许多缺陷并添加若干增强,而且解决了多个安全问题。
JFreeChart 组件容易受到多种跨站脚本 (XSS) 漏洞的攻击。攻击者可滥用图像映射功能,通过图表区域的多个属性来注入任意 Web 脚本或 HTML。(CVE-2007-6306)
在 HSQLDB 组件中发现一个通过暴露静态 java 方法而造成的漏洞。攻击者可利用此漏洞执行任意静态 java 方法。(CVE-2007-4575)
org.jboss.seam.framework.Query 类中的 setOrder 方法未正确验证用户提供的参数。此漏洞允许远程攻击者通过 order 参数来注入并执行任意 EJBQL 命令。(CVE-2007-6433)
有关此更新中包含的缺陷补丁和增强的详细信息,请参阅下方“参考”部分中链接的 JBoss Enterprise Application Platform 4.2.0.CP02 发行说明。
建议所有想要使用 JBoss Enterprise Application Platform 的 Red Hat Enterprise Linux 5 用户安装这些新程序包。
解决方案
更新受影响的数据包。另见
https://access.redhat.com/security/cve/cve-2007-4575
https://access.redhat.com/security/cve/cve-2007-5461
https://access.redhat.com/security/cve/cve-2007-6306
https://access.redhat.com/security/cve/cve-2007-6433
https://access.redhat.com/security/cve/cve-2008-0002
插件详情
严重性: High
ID: 63851
文件名: redhat-RHSA-2008-0213.nasl
版本: 1.17
类型: local
代理: unix
发布时间: 2013/1/24
最近更新时间: 2021/1/14
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: High
分数: 7.4
CVSS v2
风险因素: High
基本分数: 9.3
时间分数: 7.7
矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:rh-eap-docs, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs-examples, p-cpe:/a:redhat:enterprise_linux:ws-commons-policy, cpe:/o:redhat:enterprise_linux:5, p-cpe:/a:redhat:enterprise_linux:concurrent, p-cpe:/a:redhat:enterprise_linux:glassfish-jaf, p-cpe:/a:redhat:enterprise_linux:glassfish-javamail, p-cpe:/a:redhat:enterprise_linux:glassfish-jsf, p-cpe:/a:redhat:enterprise_linux:glassfish-jstl, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-javadoc, p-cpe:/a:redhat:enterprise_linux:jacorb, p-cpe:/a:redhat:enterprise_linux:jboss-aop, p-cpe:/a:redhat:enterprise_linux:jboss-cache, p-cpe:/a:redhat:enterprise_linux:jboss-common, p-cpe:/a:redhat:enterprise_linux:jboss-jbpm-bpel, p-cpe:/a:redhat:enterprise_linux:jboss-jbpm-jpdl, p-cpe:/a:redhat:enterprise_linux:jboss-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-seam, p-cpe:/a:redhat:enterprise_linux:jboss-seam-docs, p-cpe:/a:redhat:enterprise_linux:jbossas, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jbossws-jboss42, p-cpe:/a:redhat:enterprise_linux:jbossws-wsconsume-impl, p-cpe:/a:redhat:enterprise_linux:jbossxb, p-cpe:/a:redhat:enterprise_linux:jcommon, p-cpe:/a:redhat:enterprise_linux:jfreechart, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:juddi
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2008/4/2
漏洞发布日期: 2007/10/15
可利用的方式
CANVAS (CANVAS)
参考资料信息
CVE: CVE-2007-4575, CVE-2007-5461, CVE-2007-6306, CVE-2007-6433, CVE-2008-0002