检测

RHEL 5:JBoss EAP (RHSA-2008:0827)

medium Nessus 插件 ID 63862

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 JBoss Enterprise Application Platform (JBoss EAP) 程序包解决了一些安全问题,现可用于 Red Hat Enterprise Linux 5。

Red Hat 安全响应团队将此更新评级为具有中等安全影响。

JBoss EAP 是 Java 2 Platform Enterprise Edition (J2EE) 应用程序的中间件平台。JBoss Seam 是一款通过集成异步 JavaScript 和 XML (AJAX)、JavaServer Faces (JSF)、Java Persistence (JPA)、Enterprise Java Beans (EJB 3.0) 和 Business Process Management (BPM) 技术使用,构建 Java Internet 应用程序的框架。

适用于 Red Hat Enterprise Linux 5 的此版本 JBoss EAP 包含 JBoss Application Server 和 JBoss Seam。此版本可替代 JBoss EAP 4.2.0.GA,修复了以下安全问题:

这些更新后的 JBoss Enterprise Application Platform (JBoss EAP) 程序包解决了以下安全问题:

JavaServer Faces (JSF) 组件容易受到多种跨站脚本 (XSS) 漏洞的攻击。攻击者可利用这些缺陷注入任意 Web 脚本或 HTML。(CVE-2008-1285)

未经认证的用户可能访问状态 servlet,这可允许远程攻击者获取有关部署 Web 上下文的详细信息。(CVE-2008-3273)

除了此处列出的安全补丁,这些更新后的程序包还包含其他缺陷补丁及增强。有关完整列表,请参阅链接到此公告“参考”部分的JBoss EAP 4.2.0.CP03 发行说明。

警告:应用此更新之前,请备份 JBoss EAP 'server/<configuration>/deploy/' 目录以及任何自定义配置文件。

JBoss Enterprise Application Platform (JBoss EAP) 用户应升级这些更新后的程序包,其中包含用于修正这些问题的向后移植的修补程序。

解决方案

更新受影响的数据包。

另见

https://access.redhat.com/security/cve/cve-2008-1285

https://access.redhat.com/security/cve/cve-2008-3273

http://www.nessus.org/u?13c46bfa

https://access.redhat.com/errata/RHSA-2008:0827

插件详情

严重性: Medium

ID: 63862

文件名: redhat-RHSA-2008-0827.nasl

版本: 1.18

类型: local

代理: unix

发布时间: 2013/1/24

最近更新时间: 2021/1/14

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 3.0

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:asm, p-cpe:/a:redhat:enterprise_linux:cglib, p-cpe:/a:redhat:enterprise_linux:glassfish-jaf, p-cpe:/a:redhat:enterprise_linux:glassfish-javamail, p-cpe:/a:redhat:enterprise_linux:glassfish-jsf, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-javadoc, p-cpe:/a:redhat:enterprise_linux:jboss-cache, p-cpe:/a:redhat:enterprise_linux:jboss-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-seam, p-cpe:/a:redhat:enterprise_linux:jboss-seam-docs, p-cpe:/a:redhat:enterprise_linux:jbossas, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jbossws-jboss42, p-cpe:/a:redhat:enterprise_linux:jcommon, p-cpe:/a:redhat:enterprise_linux:jfreechart, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs-examples, cpe:/o:redhat:enterprise_linux:5

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2008/8/5

漏洞发布日期: 2008/3/11

参考资料信息

CVE: CVE-2008-1285, CVE-2008-3273

BID: 30540

CWE: 264, 79

RHSA: 2008:0827