RHEL 5:JBoss EAP (RHSA-2009:1649)
medium Nessus 插件 ID 63905
语言:
简介
远程 Red Hat 主机缺少一个或多个安全更新。描述
更新后的 JBoss Enterprise Application Platform (JBEAP) 4.3 程序包修复了多种安全问题和多个缺陷并添加了增强,现在已像 JBEAP 4.3.0.CP07 一样可用于 Red Hat Enterprise Linux 5。Red Hat 安全响应团队将此更新评级为具有中等安全影响。
JBoss Enterprise Application Platform 是适用于创新、可扩展 Java 应用程序的市场领先的平台;它将 JBoss Application Server、JBoss Hibernate 和 JBoss Seam 集成为一款全面而简单的企业解决方案。
适用于 Red Hat Enterprise Linux 5 的此版本 JBEAP 可替代 JBEAP 4.3.0.CP06。
这些更新后的程序包中包含缺陷补丁和增强,其详细信息可通过访问以下链接从可即时获取的发行说明中找到:http://www.redhat.com/docs/en-US/JBoss_Enterprise_Application_Platform/
此版本还修复了以下安全问题:
在 xml-security 中发现缺失对基于 HMAC 的 XML 签名截断表单的建议最小长度的检查。攻击者可利用此缺陷创建特别构建的 XML 文件来伪造 XML 签名,从而使攻击者可以绕过基于 XML 签名规范的认证。
(CVE-2009-0217)
Swatej Kumar 在 JBoss Application Server Web 控制台中发现跨站脚本 (XSS) 缺陷。攻击者可利用这些缺陷向经认证的用户展示误导性数据,或者在经认证用户的浏览器会话上下文中执行任意脚本代码。(CVE-2009-2405)
在 Apache Xerces2 Java 解析器处理 DTD 中的 SYSTEM 标识符的方式中发现一个缺陷。远程攻击者可以提供特别构建的 XML 文件,一旦使用 Apache Xerces2 Java 解析器的应用程序解析该文件,会导致拒绝服务(应用程序因使用过量 CPU 而挂起)。(CVE-2009-2625)
在 twiddle 命令行客户端中发现一个信息泄漏缺陷。
JMX 密码以纯文本格式登录“twiddle.log”。
(CVE-2009-3554)
在 JMX 控制台中发现一个 XSS 缺陷。攻击者可利用此缺陷向经认证的用户展示误导性数据,或者在经认证用户的浏览器会话上下文中执行任意脚本代码。(CVE-2009-1380)
警告:应用此更新之前,请备份 JBEAP 'server/[configuration]/deploy/' 目录以及任何其他自定义配置文件。
建议 Red Hat Enterprise Linux 5 上的所有 JBEAP 4.3 用户升级这些更新后的程序包。
解决方案
更新受影响的数据包。另见
https://access.redhat.com/security/cve/cve-2009-0217
https://access.redhat.com/security/cve/cve-2009-1380
https://access.redhat.com/security/cve/cve-2009-2405
https://access.redhat.com/security/cve/cve-2009-2625
https://access.redhat.com/security/cve/cve-2009-3554
插件详情
严重性: Medium
ID: 63905
文件名: redhat-RHSA-2009-1649.nasl
版本: 1.17
类型: local
代理: unix
发布时间: 2013/1/24
最近更新时间: 2021/1/14
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.2
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 3.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:glassfish-jaxb, p-cpe:/a:redhat:enterprise_linux:glassfish-jaxb-javadoc, p-cpe:/a:redhat:enterprise_linux:glassfish-jsf, p-cpe:/a:redhat:enterprise_linux:hibernate3, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-javadoc, p-cpe:/a:redhat:enterprise_linux:jacorb, p-cpe:/a:redhat:enterprise_linux:jboss-aop, p-cpe:/a:redhat:enterprise_linux:jboss-common, p-cpe:/a:redhat:enterprise_linux:jboss-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-seam, p-cpe:/a:redhat:enterprise_linux:jboss-seam-docs, p-cpe:/a:redhat:enterprise_linux:jboss-seam2, p-cpe:/a:redhat:enterprise_linux:jboss-seam2-docs, p-cpe:/a:redhat:enterprise_linux:jbossas, p-cpe:/a:redhat:enterprise_linux:jbossas-4.3.0.ga_cp07-bin, p-cpe:/a:redhat:enterprise_linux:jbossas-client, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jbossws, p-cpe:/a:redhat:enterprise_linux:jbossws-common, p-cpe:/a:redhat:enterprise_linux:jbossws-framework, p-cpe:/a:redhat:enterprise_linux:jbossws-native42, p-cpe:/a:redhat:enterprise_linux:jcommon, p-cpe:/a:redhat:enterprise_linux:jfreechart, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:quartz, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs-examples, p-cpe:/a:redhat:enterprise_linux:xml-security, cpe:/o:redhat:enterprise_linux:5
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
易利用性: No known exploits are available
补丁发布日期: 2009/12/9
漏洞发布日期: 2009/7/14
参考资料信息
CVE: CVE-2009-0217, CVE-2009-1380, CVE-2009-2405, CVE-2009-2625, CVE-2009-3554