检测

RHEL 5:JBoss EAP (RHSA-2013:1207)

medium Nessus 插件 ID 69882

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

Red Hat JBoss Enterprise Application Platform 6.1.1 修复了多种安全问题和各种缺陷,并添加了增强,现在可用于 Red Hat Enterprise Linux 5。

Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

Red Hat JBoss Enterprise Application Platform 6 是适用于基于 JBoss Application Server 7 的 Java 应用程序的平台。

此版本可替换 Red Hat JBoss Enterprise Application Platform 6.1.0,并包含缺陷补丁和多项增强。
有关这些最重要更改的信息,请参阅 6.1.1 发行说明,具体内容短期内将于以下网址中提供:https://access.redhat.com/site/documentation/

安全补丁:

在 mod_info、mod_status、mod_imagemap、mod_ldap 和 mod_proxy_ftp 模块中发现跨站脚本 (XSS) 缺陷。如果攻击者能够使受害者的浏览器生成带有特别构建的主机标头的 HTTP 请求,则他们便可能利用这些缺陷发动 XSS 攻击。(CVE-2012-3499)

在 mod_proxy_balancer 模块的管理器 Web 界面中发现跨站脚本 (XSS) 缺陷。如果远程攻击者可诱骗登录到管理器 Web 界面的用户访问特别构建的 URL,则将导致在用户管理器界面会话的上下文中执行任意 Web 脚本。
(CVE-2012-4558)

在 mod_dav 模块处理合并请求的方式中发现一个缺陷。
攻击者可利用此缺陷,发送构建的合并请求(含有不是为 DAV 配置的 URI),从而导致 httpd 子进程崩溃。(CVE-2013-1896)

在 Apache Santuario XML Security for Java 验证 XML 签名的方式中发现一个缺陷。Santuario 允许签名指定任意规范化算法,该算法将被应用于 SignedInfo XML 片段。远程攻击者可利用这一点,通过特别构建的 XML 签名块冒充 XML 签名。
(CVE-2013-2172)

已发现 mod_rewrite 未过滤其日志文件中的终端转义序列。如果 mod_rewrite 配置了 RewriteLog 指令,远程攻击者可使用特别构建的 HTTP 请求向 mod_rewrite 日志文件中注入终端转义序列。如果受害者查看具有终端仿真器的日志文件,则可导致以用户的权限执行任意命令。
(CVE-2013-1862)

PicketBox Vault 用来存储加密密码的数据文件含有其自身 admin 密钥的副本。文件只使用该 admin 密钥进行加密,而不是相应的 JKS 密钥。具有保管库数据文件的读取权限的本地攻击者可从文件读取 admin 密钥,并且使用该密钥解密文件并读取明文中存储的密码。(CVE-2013-1921)

在 JGroup 的 DiagnosticsHandler 中发现一个缺陷,允许相邻网络中的攻击者重用之前成功认证的凭据。可利用该缺陷读取诊断信息(信息泄露)并获取有限的远程代码执行。(CVE-2013-4112)

警告:应用此更新之前,请备份现有 Red Hat JBoss Enterprise Application Platform 安装和部署的应用程序。有关更多详细信息,请参阅“解决方案”部分。

建议 Red Hat Enterprise Linux 5 上的所有 Red Hat JBoss Enterprise Application Platform 6.1.0 用户升级这些更新后的程序包。必须重新启动 JBoss 服务器进程才能使更新生效。

解决方案

更新受影响的数据包。

另见

https://www.redhat.com/security/data/cve/CVE-2012-3499.html

https://www.redhat.com/security/data/cve/CVE-2012-4558.html

https://www.redhat.com/security/data/cve/CVE-2013-1862.html

https://www.redhat.com/security/data/cve/CVE-2013-1896.html

https://www.redhat.com/security/data/cve/CVE-2013-1921.html

https://www.redhat.com/security/data/cve/CVE-2013-2172.html

https://www.redhat.com/security/data/cve/CVE-2013-4112.html

https://access.redhat.com/site/documentation/

http://rhn.redhat.com/errata/RHSA-2013-1207.html

插件详情

严重性: Medium

ID: 69882

文件名: redhat-RHSA-2013-1207.nasl

版本: 1.10

类型: local

代理: unix

发布时间: 2013/9/13

最近更新时间: 2021/1/14

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 5.1

时间分数: 3.8

矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:apache-commons-beanutils, p-cpe:/a:redhat:enterprise_linux:apache-commons-daemon-jsvc-eap6, p-cpe:/a:redhat:enterprise_linux:apache-cxf, p-cpe:/a:redhat:enterprise_linux:apache-cxf-xjc-utils, p-cpe:/a:redhat:enterprise_linux:cxf-xjc-boolean, p-cpe:/a:redhat:enterprise_linux:cxf-xjc-dv, p-cpe:/a:redhat:enterprise_linux:cxf-xjc-ts, p-cpe:/a:redhat:enterprise_linux:hibernate4, p-cpe:/a:redhat:enterprise_linux:hibernate4-core, p-cpe:/a:redhat:enterprise_linux:hibernate4-entitymanager, p-cpe:/a:redhat:enterprise_linux:hibernate4-envers, p-cpe:/a:redhat:enterprise_linux:hibernate4-infinispan, p-cpe:/a:redhat:enterprise_linux:hornetq, p-cpe:/a:redhat:enterprise_linux:hornetq-native, p-cpe:/a:redhat:enterprise_linux:httpd, p-cpe:/a:redhat:enterprise_linux:httpd-devel, p-cpe:/a:redhat:enterprise_linux:httpd-tools, p-cpe:/a:redhat:enterprise_linux:infinispan, p-cpe:/a:redhat:enterprise_linux:infinispan-cachestore-jdbc, p-cpe:/a:redhat:enterprise_linux:infinispan-cachestore-remote, p-cpe:/a:redhat:enterprise_linux:infinispan-client-hotrod, p-cpe:/a:redhat:enterprise_linux:infinispan-core, p-cpe:/a:redhat:enterprise_linux:ironjacamar, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-api, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-impl, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-spi, p-cpe:/a:redhat:enterprise_linux:ironjacamar-core-api, p-cpe:/a:redhat:enterprise_linux:ironjacamar-core-impl, p-cpe:/a:redhat:enterprise_linux:ironjacamar-deployers-common, p-cpe:/a:redhat:enterprise_linux:ironjacamar-jdbc, p-cpe:/a:redhat:enterprise_linux:ironjacamar-spec-api, p-cpe:/a:redhat:enterprise_linux:ironjacamar-validator, p-cpe:/a:redhat:enterprise_linux:jaxbintros, p-cpe:/a:redhat:enterprise_linux:jboss-aesh, p-cpe:/a:redhat:enterprise_linux:jboss-as-appclient, p-cpe:/a:redhat:enterprise_linux:jboss-as-cli, p-cpe:/a:redhat:enterprise_linux:jboss-as-client-all, p-cpe:/a:redhat:enterprise_linux:jboss-as-clustering, p-cpe:/a:redhat:enterprise_linux:jboss-as-cmp, p-cpe:/a:redhat:enterprise_linux:jboss-as-configadmin, p-cpe:/a:redhat:enterprise_linux:jboss-as-connector, p-cpe:/a:redhat:enterprise_linux:jboss-as-console, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller-client, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-repository, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-scanner, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-http, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-management, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee-deployment, p-cpe:/a:redhat:enterprise_linux:jboss-as-ejb3, p-cpe:/a:redhat:enterprise_linux:jboss-as-embedded, p-cpe:/a:redhat:enterprise_linux:jboss-as-host-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-jacorb, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxr, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxrs, p-cpe:/a:redhat:enterprise_linux:jboss-as-jdr, p-cpe:/a:redhat:enterprise_linux:jboss-as-jmx, p-cpe:/a:redhat:enterprise_linux:jboss-as-jpa, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsf, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsr77, p-cpe:/a:redhat:enterprise_linux:jboss-as-logging, p-cpe:/a:redhat:enterprise_linux:jboss-as-mail, p-cpe:/a:redhat:enterprise_linux:jboss-as-management-client-content, p-cpe:/a:redhat:enterprise_linux:jboss-as-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-as-modcluster, p-cpe:/a:redhat:enterprise_linux:jboss-as-naming, p-cpe:/a:redhat:enterprise_linux:jboss-as-network, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-configadmin, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-service, p-cpe:/a:redhat:enterprise_linux:jboss-as-platform-mbean, p-cpe:/a:redhat:enterprise_linux:jboss-as-pojo, p-cpe:/a:redhat:enterprise_linux:jboss-as-process-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-protocol, p-cpe:/a:redhat:enterprise_linux:jboss-as-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-as-sar, p-cpe:/a:redhat:enterprise_linux:jboss-as-security, p-cpe:/a:redhat:enterprise_linux:jboss-as-server, p-cpe:/a:redhat:enterprise_linux:jboss-as-system-jmx, p-cpe:/a:redhat:enterprise_linux:jboss-as-threads, p-cpe:/a:redhat:enterprise_linux:jboss-as-transactions, p-cpe:/a:redhat:enterprise_linux:jboss-as-version, p-cpe:/a:redhat:enterprise_linux:jboss-as-web, p-cpe:/a:redhat:enterprise_linux:jboss-as-webservices, p-cpe:/a:redhat:enterprise_linux:jboss-as-weld, p-cpe:/a:redhat:enterprise_linux:jboss-as-xts, p-cpe:/a:redhat:enterprise_linux:jboss-ejb-client, p-cpe:/a:redhat:enterprise_linux:jboss-hal, p-cpe:/a:redhat:enterprise_linux:jboss-invocation, p-cpe:/a:redhat:enterprise_linux:jboss-jsp-api_2.2_spec, p-cpe:/a:redhat:enterprise_linux:jboss-logmanager, p-cpe:/a:redhat:enterprise_linux:jboss-marshalling, p-cpe:/a:redhat:enterprise_linux:jboss-modules, p-cpe:/a:redhat:enterprise_linux:jboss-remote-naming, p-cpe:/a:redhat:enterprise_linux:jboss-security-negotiation, p-cpe:/a:redhat:enterprise_linux:jboss-stdio, p-cpe:/a:redhat:enterprise_linux:jbossas-appclient, p-cpe:/a:redhat:enterprise_linux:jbossas-bundles, p-cpe:/a:redhat:enterprise_linux:jbossas-core, p-cpe:/a:redhat:enterprise_linux:jbossas-domain, p-cpe:/a:redhat:enterprise_linux:jbossas-hornetq-native, p-cpe:/a:redhat:enterprise_linux:jbossas-javadocs, p-cpe:/a:redhat:enterprise_linux:jbossas-modules-eap, p-cpe:/a:redhat:enterprise_linux:jbossas-product-eap, p-cpe:/a:redhat:enterprise_linux:jbossas-standalone, p-cpe:/a:redhat:enterprise_linux:jbossas-welcome-content-eap, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jbossws-common, p-cpe:/a:redhat:enterprise_linux:jbossws-cxf, p-cpe:/a:redhat:enterprise_linux:jbossws-spi, p-cpe:/a:redhat:enterprise_linux:jcip-annotations-eap6, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:log4j-jboss-logmanager, p-cpe:/a:redhat:enterprise_linux:mod_ssl, p-cpe:/a:redhat:enterprise_linux:netty, p-cpe:/a:redhat:enterprise_linux:opensaml, p-cpe:/a:redhat:enterprise_linux:openws, p-cpe:/a:redhat:enterprise_linux:picketbox, p-cpe:/a:redhat:enterprise_linux:picketlink-federation, p-cpe:/a:redhat:enterprise_linux:wss4j, p-cpe:/a:redhat:enterprise_linux:xml-security, cpe:/o:redhat:enterprise_linux:5

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2013/9/4

参考资料信息

CVE: CVE-2012-3499, CVE-2012-4558, CVE-2013-1862, CVE-2013-1896, CVE-2013-1921, CVE-2013-2172, CVE-2013-4112

BID: 58165, 59826, 60846, 61129, 61179, 62256

RHSA: 2013:1207