RHEL 5 / 6:jbossweb (RHSA-2012: 0074)

medium Nessus 插件 ID 64022

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 jbossweb 程序包修复了多种安全问题,现在可用于 JBoss Enterprise Application Platform 5.1.2 for Red Hat Enterprise Linux 4、5 和 6。

Red Hat 安全响应团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

JBoss Web 为 JBoss Enterprise Application Platform 中基于 Apache Tomcat 的 Web 容器。它为 JavaServer Pages (JSP) 和 Java Servlet 技术提供了单一部署平台。

在 JBoss Web 处理 UTF-8 代理对字符的方式中发现一个缺陷。如果 JBoss Web 托管启用了 UTF-8 字符编码的应用程序或者响应中包含用户提供的 UTF-8 字符串的应用程序,远程攻击者可使用此缺陷在 JBoss Web 服务器上造成拒绝服务(无限循环)。
(CVE-2011-4610)

已发现 Java hashCode() 方法实现容易遭受可预测哈希冲突的攻击。通过发送包含名称映射到同一哈希值的大量参数的 HTTP 请求,远程攻击者可利用此缺陷导致 JBoss Web 使用过量 CPU 时间。此更新引入对每个请求处理的参数和标头数量的限制,以便缓解此问题。参数的默认限制为 512,标头的默认限制为 128。可通过在“jboss-as/server/[PROFILE]/deploy/properties-service.xml”中设置 org.apache.tomcat.util.http.Parameters.MAX_COUNT 和 org.apache.tomcat.util.http.MimeHeaders.MAX_COUNT 系统属性来更改这些默认值。
(CVE-2011-4858)

发现 JBoss Web 未有效处理大量参数和大型参数。通过发送包含大量参数或大型参数值的 HTTP 请求,远程攻击者可使 JBoss Web 服务器使用过量 CPU 时间。此更新引入对每个请求中处理的参数和标头的数量的限制以解决此问题。
请参阅 CVE-2011-4858 描述以了解关于 org.apache.tomcat.util.http.Parameters.MAX_COUNT 和 org.apache.tomcat.util.http.MimeHeaders.MAX_COUNT 系统属性的信息。
(CVE-2012-0022)

在 JBoss Web 处理 HTTP 摘要式认证的方式中发现多种缺陷。这些缺陷削弱了 JBoss Web HTTP 摘要式身份验证实现,使其受到 HTTP BASIC 身份验证的某些漏洞的影响,例如允许远程攻击者执行会话重播攻击。(CVE-2011-1184、CVE-2011-5062、CVE-2011-5063、CVE-2011-5064)

使用 HTTP APR (Apache Portable Runtime) 或 NIO(非阻塞 I/O)连接器时,在 JBoss Web 处理 sendfile 请求属性的方式中发现一个缺陷。JBoss Web 实例上运行的恶意 Web 应用程序可使用此缺陷来绕过安全管理器限制并获得对其本应无法访问的文件的访问权限,或者可能终止 Java 虚拟机 (JVM)。
(CVE-2011-2526)

Red Hat 在此感谢 NTT OSSC 报告 CVE-2011-4610;
感谢 oCERT 报告 CVE-2011-4858;感谢 Apache Tomcat 项目报告 CVE-2011-2526。oCERT 感谢 CVE-2011-4858 的原始报告者 Julian Wälde 和 Alexander Klink。

警告:应用此更新之前,请备份 JBoss Enterprise Application Platform 的“jboss-as/server/[PROFILE]/deploy/”目录,以及所有其他自定义配置文件。

Red Hat Enterprise Linux 4、5 和 6 中的 JBoss Enterprise Application Platform 5.1.2 用户应升级这些更新后的程序包,其中修正了这些问题。必须重新启动 JBoss 服务器进程以使此更新生效。

解决方案

更新受影响的数据包。

另见

https://access.redhat.com/errata/RHSA-2012:0074

https://access.redhat.com/security/cve/cve-2011-2526

https://access.redhat.com/security/cve/cve-2011-1184

https://access.redhat.com/security/cve/cve-2011-5062

https://access.redhat.com/security/cve/cve-2011-5063

https://access.redhat.com/security/cve/cve-2011-5064

https://access.redhat.com/security/cve/cve-2011-4858

https://access.redhat.com/security/cve/cve-2012-0022

https://access.redhat.com/security/cve/cve-2011-4610

插件详情

严重性: Medium

ID: 64022

文件名: redhat-RHSA-2012-0074.nasl

版本: 1.27

类型: local

代理: unix

发布时间: 2013/1/24

最近更新时间: 2021/1/14

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.8

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.9

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jbossweb-el-1.0-api, p-cpe:/a:redhat:enterprise_linux:jbossweb-jsp-2.1-api, p-cpe:/a:redhat:enterprise_linux:jbossweb-lib, p-cpe:/a:redhat:enterprise_linux:jbossweb-servlet-2.5-api, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:6

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2012/1/31

漏洞发布日期: 2011/7/14

参考资料信息

CVE: CVE-2011-1184, CVE-2011-2526, CVE-2011-4610, CVE-2011-4858, CVE-2011-5062, CVE-2011-5063, CVE-2011-5064, CVE-2012-0022

RHSA: 2012:0074