检测

RHEL 5:JBoss EAP (RHSA-2008:0828)

medium Nessus 插件 ID 63863

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 JBoss Enterprise Application Platform (JBoss EAP) 程序包修复了各种安全问题,现在可用于 Red Hat Enterprise Linux 5。

Red Hat 安全响应团队将此更新评级为具有中等安全影响。

JBoss EAP 是 Java 2 Platform Enterprise Edition (J2EE) 应用程序的中间件平台。

适用于 Red Hat Enterprise Linux 5 的此版本 JBoss EAP 包含 JBoss Application Server 和 JBoss Seam。此版本可替代 JBoss EAP 4.3.0.GA,修复了以下安全问题:

JavaServer Faces (JSF) 组件容易受到多种跨站脚本 (XSS) 漏洞的攻击。攻击者可利用这些缺陷注入任意 Web 脚本或 HTML。(CVE-2008-1285)

未经认证的用户可能访问状态 servlet,这可允许远程攻击者获取有关部署 Web 上下文的详细信息。(CVE-2008-3273)

这些更新后的程序包包含此处未列出的缺陷补丁及增强。有关完整列表,请参阅链接到此公告“参考”部分的 JBoss EAP 4.3.0.CP01 发行说明。

警告:应用此更新之前,请备份 JBoss EAP 'server/[configuration]/deploy/' 目录以及任何自定义配置文件。

建议 Red Hat Enterprise Linux 5 上的所有 JBoss EAP 用户升级这些更新后的程序包,其中解决了这些问题。

解决方案

更新受影响的数据包。

另见

https://access.redhat.com/security/cve/cve-2008-1285

https://access.redhat.com/security/cve/cve-2008-3273

http://www.nessus.org/u?9bdf7206

https://access.redhat.com/errata/RHSA-2008:0828

插件详情

严重性: Medium

ID: 63863

文件名: redhat-RHSA-2008-0828.nasl

版本: 1.18

类型: local

代理: unix

发布时间: 2013/1/24

最近更新时间: 2021/1/14

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 3.0

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:asm, p-cpe:/a:redhat:enterprise_linux:cglib, p-cpe:/a:redhat:enterprise_linux:concurrent, p-cpe:/a:redhat:enterprise_linux:glassfish-jaf, p-cpe:/a:redhat:enterprise_linux:glassfish-javamail, p-cpe:/a:redhat:enterprise_linux:glassfish-jsf, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-javadoc, p-cpe:/a:redhat:enterprise_linux:jboss-aop, p-cpe:/a:redhat:enterprise_linux:jboss-cache, p-cpe:/a:redhat:enterprise_linux:jboss-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-seam, p-cpe:/a:redhat:enterprise_linux:jboss-seam-docs, p-cpe:/a:redhat:enterprise_linux:jbossas, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jbossws, p-cpe:/a:redhat:enterprise_linux:jbossws-native42, p-cpe:/a:redhat:enterprise_linux:jbossxb, p-cpe:/a:redhat:enterprise_linux:jcommon, p-cpe:/a:redhat:enterprise_linux:jfreechart, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs, cpe:/o:redhat:enterprise_linux:5

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2008/8/5

漏洞发布日期: 2008/3/11

参考资料信息

CVE: CVE-2008-1285, CVE-2008-3273

BID: 30540

CWE: 264, 79

RHSA: 2008:0828