RHEL 5:JBoss EAP (RHSA-2009:1143)
medium Nessus 插件 ID 63882
语言:
简介
远程 Red Hat 主机缺少一个或多个安全更新。描述
更新后的 JBoss Enterprise Application Platform (JBEAP) 4.2 程序包修复了各种问题,现已如 JBEAP 4.2.0.CP07 一样可用于 Red Hat Enterprise Linux 5。Red Hat 安全响应团队将此更新评级为具有重要安全影响。
JBoss Enterprise Application Platform 是适用于创新、可扩展 Java 应用程序的市场领先的平台;它将 JBoss Application Server、JBoss Hibernate 和 JBoss Seam 集成为一款全面而简单的企业解决方案。
适用于 Red Hat Enterprise Linux 5 的此版本 JBEAP 可替代 JBEAP 4.2.0.CP06。
这些更新后的程序包包含缺陷补丁及增强,其详细说明可从发行说明中找到。发行说明的链接可从该勘误表的以下“参考”部分中找到。
此版本还修复了以下安全问题:
发现请求调度程序未正确规范具有尾部查询字符串的用户请求,从而允许远程攻击者发送特别构建的请求,导致信息泄漏。(CVE-2008-5515)
已发现某些认证类的错误检查方法未进行充分的错误检查,从而允许远程攻击者在使用基于 FORM 的认证时(通过暴力破解方法)枚举通过 JBossWeb 上部署的应用程序注册的用户名。(CVE-2009-0580)
已发现包含自己的 XML 解析器的 Web 应用程序可以替代 JBossWeb 用来解析配置文件的 XML 解析器。JBossWeb 实例上运行的恶意 Web 应用程序可以读取或者可能修改同一 JBossWeb 实例上部署的其他 Web 应用程序的配置和基于 XML 的数据。(CVE-2009-0783)
警告:应用此更新之前,请备份 JBEAP 'server/[configuration]/deploy/' 目录以及任何其他自定义配置文件。
建议 Red Hat Enterprise Linux 5 上的所有 JBEAP 4.2 用户升级这些更新后的程序包。
解决方案
更新受影响的数据包。另见
https://access.redhat.com/security/cve/cve-2008-5515
https://access.redhat.com/security/cve/cve-2009-0580
https://access.redhat.com/security/cve/cve-2009-0783
插件详情
严重性: Medium
ID: 63882
文件名: redhat-RHSA-2009-1143.nasl
版本: 1.19
类型: local
代理: unix
发布时间: 2013/1/24
最近更新时间: 2021/1/14
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.2
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 4.1
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS v3
风险因素: Medium
基本分数: 4.2
时间分数: 3.9
矢量: CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L
时间矢量: CVSS:3.0/E:F/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:hibernate3, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-commons-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-commons-annotations-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-validator, p-cpe:/a:redhat:enterprise_linux:hibernate3-validator-javadoc, p-cpe:/a:redhat:enterprise_linux:jakarta-slide-webdavclient, p-cpe:/a:redhat:enterprise_linux:jboss-cache, p-cpe:/a:redhat:enterprise_linux:jboss-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-seam, p-cpe:/a:redhat:enterprise_linux:jboss-seam-docs, p-cpe:/a:redhat:enterprise_linux:jbossas, p-cpe:/a:redhat:enterprise_linux:jbossas-4.2.0.ga_cp07-bin, p-cpe:/a:redhat:enterprise_linux:jbossas-client, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs-examples, cpe:/o:redhat:enterprise_linux:5
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2009/7/6
漏洞发布日期: 2009/6/5
可利用的方式
CANVAS (D2ExploitPack)