检测

RHEL 4 / 5 / 6:JBoss EAP (RHSA-2013:0873)

medium Nessus 插件 ID 66662

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 JBoss Enterprise Application Platform 5.2.0 程序包修复了一个安全问题,现在可用于 Red Hat Enterprise Linux 4、5 和 6。

Red Hat 安全响应团队已将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

JBoss Enterprise Application Platform 是一款适用于 Java 应用程序的平台,其将 JBoss Application Server 与 JBoss Hibernate 和 JBoss Seam 相集成。

发现各种框架(包括 Apache CXF)中均存在 XML 加密向后兼容性攻击。攻击者可强制服务器使用不安全的旧版密码系统,即使当端点启用安全加密系统时。通过强制使用旧版加密系统,将暴露 CVE-2011-1096 和 CVE-2011-2487 等缺陷,并允许纯文本通过密文和对称密钥恢复。此问题同时影响 JBoss Web Services CXF (jbossws-cxf) 和 JBoss Web Services Native (jbossws-native) 堆栈。
(CVE-2012-5575)

Red Hat 在此感谢 Ruhr-University Bochum 的 Tibor Jager、Kenneth G. Paterson 和 Juraj Somorovsky 报告此问题。

如果正在使用 jbossws-cxf,则自动检查以防止仅在使用 WS-SecurityPolicy 来强制实施安全要求时运行此缺陷。使用 WS-SecurityPolicy 执行安全要求为最佳做法。

如果正在使用 jbossws-native,“encryption”元素中的两个新配置参数会实现针对此缺陷的补丁。此元素可同时作为客户端和服务器 wsse 配置描述符中的“requires”的子项(在每个应用程序的基础上通过应用程序的 jboss-wsse-server.xml 和 jboss-wsse-client.xml 文件进行设置)。
新属性为“algorithms”和“keyWrapAlgorithms”。这些属性应包含允许用于加密和私钥封装的加密传入消息的以空格或逗号分隔的算法 ID 列表。为了向后兼容,默认不会对空列表或缺少的属性执行任何算法检查。

例如(在配置中不要包括换行):

encryption algorithms='aes-192-gcm aes-256-gcm' keyWrapAlgorithms='rsa_oaep'

指定需要对传入消息进行加密,仅 GCM 模式中的 AES-192 和 256 为允许的加密算法,并且仅 RSA-OAEP 用于密钥封装。

执行任意解密之前,jbossws-native 堆栈将验证这些新的加密元素属性允许的算法列表中是否包含了传入消息中指定的每种算法。用于“algorithms”和“keyWrapAlgorithms”的算法值与“encrypt”元素中“algorithm”和“keyWrapAlgorithm”的值相同。

警告:应用此更新之前,请备份现有 JBoss Enterprise Application Platform 安装程序(包括所有应用程序和配置文件)。

建议 Red Hat Enterprise Linux 4、5 和 6 中的所有 JBoss Enterprise Application Platform 5.2.0 用户升级这些更新后的程序包。必须重新启动 JBoss 服务器进程才能使更新生效。

解决方案

更新受影响的 apache-cxf、jbossws 和/或 wss4j 程序包。

另见

http://ws.apache.org/wss4j/best_practice.html

http://cxf.apache.org/cve-2012-5575.html

https://access.redhat.com/errata/RHSA-2013:0873

https://access.redhat.com/security/cve/cve-2012-5575

插件详情

严重性: Medium

ID: 66662

文件名: redhat-RHSA-2013-0873.nasl

版本: 1.21

类型: local

代理: unix

发布时间: 2013/5/29

最近更新时间: 2021/1/14

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.0

CVSS v2

风险因素: Medium

基本分数: 6.4

时间分数: 5.6

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:apache-cxf, p-cpe:/a:redhat:enterprise_linux:jbossws, p-cpe:/a:redhat:enterprise_linux:wss4j, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:6

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2013/5/28

漏洞发布日期: 2013/8/19

参考资料信息

CVE: CVE-2012-5575

BID: 60043

RHSA: 2013:0873