RHEL 4:JBoss EAP (RHSA-2009:1146)

medium Nessus 插件 ID 63885
全新!漏洞优先级评级 (VPR)

Tenable 测算每个漏洞的动态 VPR。VPR 将漏洞信息与威胁情报和机器学习算法相结合,预测哪些漏洞最有可能在攻击中被利用。了解详细信息: VPR 的定义及其与 CVSS 的区别。

VPR 得分: 6.2

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 JBoss Enterprise Application Platform (JBEAP) 4.3 程序包修复了各种问题,现已如 JBEAP 4.3.0.CP05 一样可用于 Red Hat Enterprise Linux 4。

Red Hat 安全响应团队将此更新评级为具有重要安全影响。

JBoss Enterprise Application Platform 是适用于创新、可扩展 Java 应用程序的市场领先的平台;它将 JBoss Application Server、JBoss Hibernate 和 JBoss Seam 集成为一款全面而简单的企业解决方案。

适用于 Red Hat Enterprise Linux 4 的此版本 JBEAP 可替代 JBEAP 4.3.0.CP04。

这些更新后的程序包包含缺陷补丁及增强,其详细说明可从发行说明中找到。发行说明的链接可从该勘误表的以下“参考”部分中找到。

此版本还修复了以下安全问题:

发现请求调度程序未正确规范具有尾部查询字符串的用户请求,从而允许远程攻击者发送特别构建的请求,导致信息泄漏。(CVE-2008-5515)

已发现某些认证类的错误检查方法未进行充分的错误检查,从而允许远程攻击者在使用基于 FORM 的认证时(通过暴力破解方法)枚举通过 JBossWeb 上部署的应用程序注册的用户名。(CVE-2009-0580)

已发现包含自己的 XML 解析器的 Web 应用程序可以替代 JBossWeb 用来解析配置文件的 XML 解析器。JBossWeb 实例上运行的恶意 Web 应用程序可以读取或者可能修改同一 JBossWeb 实例上部署的其他 Web 应用程序的配置和基于 XML 的数据。(CVE-2009-0783)

警告:应用此更新之前,请备份 JBEAP 'server/[configuration]/deploy/' 目录以及任何其他自定义配置文件。

建议 Red Hat Enterprise Linux 4 上的所有 JBEAP 4.3 用户升级这些更新后的程序包。

解决方案

更新受影响的数据包。

另见

https://access.redhat.com/security/cve/cve-2008-5515

https://access.redhat.com/security/cve/cve-2009-0580

https://access.redhat.com/security/cve/cve-2009-0783

http://www.nessus.org/u?13c46bfa

https://access.redhat.com/errata/RHSA-2009:1146

插件详情

严重性: Medium

ID: 63885

文件名: redhat-RHSA-2009-1146.nasl

版本: 1.19

类型: local

代理: unix

发布时间: 2013/1/24

最近更新时间: 2021/1/14

依存关系: ssh_get_info.nasl

风险信息

风险因素: Medium

VPR 得分: 6.2

CVSS v2.0

基本分数: 5

时间分数: 4.1

矢量: AV:N/AC:L/Au:N/C:P/I:N/A:N

时间矢量: E:F/RL:OF/RC:C

CVSS v3.0

基本分数: 4.2

时间分数: 3.9

矢量: CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L

时间矢量: E:F/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:glassfish-jaxb, p-cpe:/a:redhat:enterprise_linux:glassfish-jaxb-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-commons-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-commons-annotations-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-validator, p-cpe:/a:redhat:enterprise_linux:hibernate3-validator-javadoc, p-cpe:/a:redhat:enterprise_linux:hsqldb, p-cpe:/a:redhat:enterprise_linux:jakarta-slide-webdavclient, p-cpe:/a:redhat:enterprise_linux:jboss-cache, p-cpe:/a:redhat:enterprise_linux:jboss-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-seam, p-cpe:/a:redhat:enterprise_linux:jboss-seam-docs, p-cpe:/a:redhat:enterprise_linux:jbossas, p-cpe:/a:redhat:enterprise_linux:jbossas-4.3.0.GA_CP05-bin, p-cpe:/a:redhat:enterprise_linux:jbossas-client, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jbossws, p-cpe:/a:redhat:enterprise_linux:jbossws-common, p-cpe:/a:redhat:enterprise_linux:jbossws-framework, p-cpe:/a:redhat:enterprise_linux:jbossws-native42, p-cpe:/a:redhat:enterprise_linux:jbossws-spi, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs-examples, p-cpe:/a:redhat:enterprise_linux:xerces-j2, cpe:/o:redhat:enterprise_linux:4

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2009/7/6

漏洞发布日期: 2009/6/5

可利用的方式

CANVAS (D2ExploitPack)

参考资料信息

CVE: CVE-2008-5515, CVE-2009-0580, CVE-2009-0783

BID: 35196, 35263, 35416

RHSA: 2009:1146

CWE: 22, 200