检测

RHEL 4:JBoss EAP (RHSA-2008:0831)

medium Nessus 插件 ID 63864

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 JBoss Enterprise Application Platform (JBEAP) 4.3 程序包修复了各种安全问题,现已如 JBEAP 4.3.0.CP02 一样可用于 Red Hat Enterprise Linux 4。

Red Hat 安全响应团队将此更新评级为具有低安全影响。

JBoss Enterprise Application Platform 是适用于创新、可扩展 Java 应用程序的市场领先的平台;它将 JBoss Application Server、JBoss Hibernate 和 JBoss Seam 集成为一款全面而简单的企业解决方案。

适用于 Red Hat Enterprise Linux 4 的此版本 JBEAP 可替代 JBEAP 4.3.0.CP01。

这些更新后的程序包包含缺陷补丁及增强,其详细说明可从发行说明中找到。发行说明的链接可从以下“参考”部分中找到。

此版本还修复了以下安全问题:

JULI 日志记录组件中的默认安全策略未能限制对文件的访问权限。不受信任的 Web 应用程序可能会滥用此漏洞,在 Tomcat 进程的上下文中访问和写入任意文件。(CVE-2007-5342)

控制服务器类下载的属性在“生产”配置中设置为“true”。当类下载服务被绑定到外部接口时,远程攻击者可能从服务器类路径下载任意类文件。
(CVE-2008-3519)

警告:应用此更新之前,请备份 JBEAP 'server/[configuration]/deploy/' 目录以及任何其他自定义配置文件。

建议 Red Hat Enterprise Linux 4 上的所有 JBEAP 4.3 用户升级这些更新后的程序包,其中解决了这些问题。

解决方案

更新受影响的数据包。

另见

https://access.redhat.com/security/cve/cve-2007-5342

https://access.redhat.com/security/cve/cve-2008-3519

http://www.nessus.org/u?13c46bfa

https://access.redhat.com/errata/RHSA-2008:0831

插件详情

严重性: Medium

ID: 63864

文件名: redhat-RHSA-2008-0831.nasl

版本: 1.14

类型: local

代理: unix

发布时间: 2013/1/24

最近更新时间: 2021/1/14

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.2

CVSS v2

风险因素: Medium

基本分数: 6.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:glassfish-jaf, p-cpe:/a:redhat:enterprise_linux:glassfish-javamail, p-cpe:/a:redhat:enterprise_linux:glassfish-jaxb, p-cpe:/a:redhat:enterprise_linux:glassfish-jaxb-javadoc, p-cpe:/a:redhat:enterprise_linux:glassfish-jaxws, p-cpe:/a:redhat:enterprise_linux:glassfish-jaxws-javadoc, p-cpe:/a:redhat:enterprise_linux:glassfish-jstl, p-cpe:/a:redhat:enterprise_linux:hibernate3, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-commons-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-validator, p-cpe:/a:redhat:enterprise_linux:jakarta-commons-beanutils, p-cpe:/a:redhat:enterprise_linux:javassist, p-cpe:/a:redhat:enterprise_linux:jboss-aop, p-cpe:/a:redhat:enterprise_linux:jboss-jaxr, p-cpe:/a:redhat:enterprise_linux:jboss-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-seam, p-cpe:/a:redhat:enterprise_linux:jboss-seam-docs, p-cpe:/a:redhat:enterprise_linux:jbossas, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jbossws, p-cpe:/a:redhat:enterprise_linux:jbossws-common, p-cpe:/a:redhat:enterprise_linux:jbossws-framework, p-cpe:/a:redhat:enterprise_linux:jbossxb, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs, cpe:/o:redhat:enterprise_linux:4

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

补丁发布日期: 2008/9/22

漏洞发布日期: 2007/12/27

参考资料信息

CVE: CVE-2007-5342, CVE-2008-3519

CWE: 16, 264

RHSA: 2008:0831