RHEL 5:JBoss EAP (RHSA-2009:1650)

medium Nessus 插件 ID 63906

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 JBoss Enterprise Application Platform (JBEAP) 4.2 程序包修复了多种安全问题和多个缺陷并添加了增强,现在已像 JBEAP 4.2.0.CP08 一样可用于 Red Hat Enterprise Linux 5。

Red Hat 安全响应团队将此更新评级为具有中等安全影响。

JBoss Enterprise Application Platform 是适用于创新、可扩展 Java 应用程序的市场领先的平台;它将 JBoss Application Server、JBoss Hibernate 和 JBoss Seam 集成为一款全面而简单的企业解决方案。

适用于 Red Hat Enterprise Linux 5 的此版本 JBEAP 可替代 JBEAP 4.2.0.CP07。

这些更新后的程序包中包含缺陷补丁和增强,其详细信息可通过访问以下链接从可即时获取的发行说明中找到:http://www.redhat.com/docs/en-US/JBoss_Enterprise_Application_Platform/

此版本还修复了以下安全问题:

在 xml-security 中发现缺失对基于 HMAC 的 XML 签名截断表单的建议最小长度的检查。攻击者可利用此缺陷创建特别构建的 XML 文件来伪造 XML 签名,从而使攻击者可以绕过基于 XML 签名规范的认证。
(CVE-2009-0217)

Swatej Kumar 在 JBoss Application Server Web 控制台中发现跨站脚本 (XSS) 缺陷。攻击者可利用这些缺陷向经认证的用户展示误导性数据,或者在经认证用户的浏览器会话上下文中执行任意脚本代码。(CVE-2009-2405)

在 Apache Xerces2 Java 解析器处理 DTD 中的 SYSTEM 标识符的方式中发现一个缺陷。远程攻击者可以提供特别构建的 XML 文件,一旦使用 Apache Xerces2 Java 解析器的应用程序解析该文件,会导致拒绝服务(应用程序因使用过量 CPU 而挂起)。(CVE-2009-2625)

在 twiddle 命令行客户端中发现一个信息泄漏缺陷。
JMX 密码以纯文本格式登录“twiddle.log”。
(CVE-2009-3554)

在 JMX 控制台中发现一个 XSS 缺陷。攻击者可利用此缺陷向经认证的用户展示误导性数据,或者在经认证用户的浏览器会话上下文中执行任意脚本代码。(CVE-2009-1380)

警告:应用此更新之前,请备份 JBEAP 'server/[configuration]/deploy/' 目录以及任何其他自定义配置文件。

建议 Red Hat Enterprise Linux 5 上的所有 JBEAP 4.2 用户升级这些更新后的程序包。

解决方案

更新受影响的数据包。

另见

https://access.redhat.com/security/cve/cve-2009-0217

https://access.redhat.com/security/cve/cve-2009-1380

https://access.redhat.com/security/cve/cve-2009-2405

https://access.redhat.com/security/cve/cve-2009-2625

https://access.redhat.com/security/cve/cve-2009-3554

http://www.nessus.org/u?13c46bfa

https://access.redhat.com/errata/RHSA-2009:1650

插件详情

严重性: Medium

ID: 63906

文件名: redhat-RHSA-2009-1650.nasl

版本: 1.17

类型: local

代理: unix

发布时间: 2013/1/24

最近更新时间: 2021/1/14

支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent

风险信息

VPR

风险因素: Medium

分数: 4.4

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.7

矢量: AV:N/AC:L/Au:N/C:N/I:P/A:N

时间矢量: E:U/RL:OF/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:glassfish-jsf, p-cpe:/a:redhat:enterprise_linux:hibernate3, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-javadoc, p-cpe:/a:redhat:enterprise_linux:jacorb, p-cpe:/a:redhat:enterprise_linux:jboss-aop, p-cpe:/a:redhat:enterprise_linux:jboss-common, p-cpe:/a:redhat:enterprise_linux:jboss-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-seam, p-cpe:/a:redhat:enterprise_linux:jboss-seam-docs, p-cpe:/a:redhat:enterprise_linux:jbossas, p-cpe:/a:redhat:enterprise_linux:jbossas-4.2.0.GA_CP08-bin, p-cpe:/a:redhat:enterprise_linux:jbossas-client, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jcommon, p-cpe:/a:redhat:enterprise_linux:jfreechart, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:quartz, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs-examples, p-cpe:/a:redhat:enterprise_linux:xml-security, cpe:/o:redhat:enterprise_linux:5

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2009/12/9

漏洞发布日期: 2009/7/14

参考资料信息

CVE: CVE-2009-0217, CVE-2009-1380, CVE-2009-2405, CVE-2009-2625, CVE-2009-3554

RHSA: 2009:1650

CWE: 79, 200, 264