RHEL 6:JBoss EAP (RHSA-2013:1208)

medium Nessus 插件 ID 69883
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

Red Hat JBoss Enterprise Application Platform 6.1.1 修复了多种安全问题和各种缺陷,并添加了增强,现在可用于 Red Hat Enterprise Linux 6。

Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

Red Hat JBoss Enterprise Application Platform 6 是适用于基于 JBoss Application Server 7 的 Java 应用程序的平台。

此版本可替换 Red Hat JBoss Enterprise Application Platform 6.1.0,并包含缺陷补丁和多项增强。
有关这些最重要更改的信息,请参阅 6.1.1 发行说明,具体内容短期内将于以下网址中提供:https://access.redhat.com/site/documentation/

安全补丁:

在 mod_info、mod_status、mod_imagemap、mod_ldap 和 mod_proxy_ftp 模块中发现跨站脚本 (XSS) 缺陷。如果攻击者能够使受害者的浏览器生成带有特别构建的主机标头的 HTTP 请求,则他们便可能利用这些缺陷发动 XSS 攻击。(CVE-2012-3499)

在 mod_proxy_balancer 模块的管理器 Web 界面中发现跨站脚本 (XSS) 缺陷。如果远程攻击者可诱骗登录到管理器 Web 界面的用户访问特别构建的 URL,则将导致在用户管理器界面会话的上下文中执行任意 Web 脚本。
(CVE-2012-4558)

在 mod_dav 模块处理合并请求的方式中发现一个缺陷。
攻击者可利用此缺陷,发送构建的合并请求(含有不是为 DAV 配置的 URI),从而导致 httpd 子进程崩溃。(CVE-2013-1896)

在 Apache Santuario XML Security for Java 验证 XML 签名的方式中发现一个缺陷。Santuario 允许签名指定任意规范化算法,该算法将被应用于 SignedInfo XML 片段。远程攻击者可利用这一点,通过特别构建的 XML 签名块冒充 XML 签名。
(CVE-2013-2172)

已发现 mod_rewrite 未过滤其日志文件中的终端转义序列。如果 mod_rewrite 配置了 RewriteLog 指令,远程攻击者可使用特别构建的 HTTP 请求向 mod_rewrite 日志文件中注入终端转义序列。如果受害者查看具有终端仿真器的日志文件,则可导致以用户的权限执行任意命令。
(CVE-2013-1862)

PicketBox Vault 用来存储加密密码的数据文件含有其自身 admin 密钥的副本。文件只使用该 admin 密钥进行加密,而不是相应的 JKS 密钥。具有保管库数据文件的读取权限的本地攻击者可从文件读取 admin 密钥,并且使用该密钥解密文件并读取明文中存储的密码。(CVE-2013-1921)

在 JGroup 的 DiagnosticsHandler 中发现一个缺陷,允许相邻网络中的攻击者重用之前成功认证的凭据。可利用该缺陷读取诊断信息(信息泄露)并获取有限的远程代码执行。(CVE-2013-4112)

警告:应用此更新之前,请备份现有 Red Hat JBoss Enterprise Application Platform 安装和部署的应用程序。有关更多详细信息,请参阅“解决方案”部分。

建议 Red Hat Enterprise Linux 6 上的所有 Red Hat JBoss Enterprise Application Platform 6.1.0 用户升级这些更新后的程序包。必须重新启动 JBoss 服务器进程才能使更新生效。

解决方案

更新受影响的数据包。

另见

https://www.redhat.com/security/data/cve/CVE-2012-3499.html

https://www.redhat.com/security/data/cve/CVE-2012-4558.html

https://www.redhat.com/security/data/cve/CVE-2013-1862.html

https://www.redhat.com/security/data/cve/CVE-2013-1896.html

https://www.redhat.com/security/data/cve/CVE-2013-1921.html

https://www.redhat.com/security/data/cve/CVE-2013-2172.html

https://www.redhat.com/security/data/cve/CVE-2013-4112.html

https://access.redhat.com/site/documentation/

http://rhn.redhat.com/errata/RHSA-2013-1208.html

插件详情

严重性: Medium

ID: 69883

文件名: redhat-RHSA-2013-1208.nasl

版本: 1.10

类型: local

代理: unix

发布时间: 2013/9/13

最近更新时间: 2021/1/14

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 5.1

时间分数: 3.8

矢量: AV:N/AC:H/Au:N/C:P/I:P/A:P

时间矢量: E:U/RL:OF/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:apache-commons-beanutils, p-cpe:/a:redhat:enterprise_linux:apache-commons-daemon-jsvc-eap6, p-cpe:/a:redhat:enterprise_linux:apache-cxf, p-cpe:/a:redhat:enterprise_linux:apache-cxf-xjc-utils, p-cpe:/a:redhat:enterprise_linux:cxf-xjc-boolean, p-cpe:/a:redhat:enterprise_linux:cxf-xjc-dv, p-cpe:/a:redhat:enterprise_linux:cxf-xjc-ts, p-cpe:/a:redhat:enterprise_linux:hibernate4, p-cpe:/a:redhat:enterprise_linux:hibernate4-core, p-cpe:/a:redhat:enterprise_linux:hibernate4-entitymanager, p-cpe:/a:redhat:enterprise_linux:hibernate4-envers, p-cpe:/a:redhat:enterprise_linux:hibernate4-infinispan, p-cpe:/a:redhat:enterprise_linux:hornetq, p-cpe:/a:redhat:enterprise_linux:hornetq-native, p-cpe:/a:redhat:enterprise_linux:httpd, p-cpe:/a:redhat:enterprise_linux:httpd-devel, p-cpe:/a:redhat:enterprise_linux:httpd-tools, p-cpe:/a:redhat:enterprise_linux:infinispan, p-cpe:/a:redhat:enterprise_linux:infinispan-cachestore-jdbc, p-cpe:/a:redhat:enterprise_linux:infinispan-cachestore-remote, p-cpe:/a:redhat:enterprise_linux:infinispan-client-hotrod, p-cpe:/a:redhat:enterprise_linux:infinispan-core, p-cpe:/a:redhat:enterprise_linux:ironjacamar, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-api, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-impl, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-spi, p-cpe:/a:redhat:enterprise_linux:ironjacamar-core-api, p-cpe:/a:redhat:enterprise_linux:ironjacamar-core-impl, p-cpe:/a:redhat:enterprise_linux:ironjacamar-deployers-common, p-cpe:/a:redhat:enterprise_linux:ironjacamar-jdbc, p-cpe:/a:redhat:enterprise_linux:ironjacamar-spec-api, p-cpe:/a:redhat:enterprise_linux:ironjacamar-validator, p-cpe:/a:redhat:enterprise_linux:jaxbintros, p-cpe:/a:redhat:enterprise_linux:jboss-aesh, p-cpe:/a:redhat:enterprise_linux:jboss-as-appclient, p-cpe:/a:redhat:enterprise_linux:jboss-as-cli, p-cpe:/a:redhat:enterprise_linux:jboss-as-client-all, p-cpe:/a:redhat:enterprise_linux:jboss-as-clustering, p-cpe:/a:redhat:enterprise_linux:jboss-as-cmp, p-cpe:/a:redhat:enterprise_linux:jboss-as-configadmin, p-cpe:/a:redhat:enterprise_linux:jboss-as-connector, p-cpe:/a:redhat:enterprise_linux:jboss-as-console, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller-client, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-repository, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-scanner, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-http, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-management, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee-deployment, p-cpe:/a:redhat:enterprise_linux:jboss-as-ejb3, p-cpe:/a:redhat:enterprise_linux:jboss-as-embedded, p-cpe:/a:redhat:enterprise_linux:jboss-as-host-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-jacorb, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxr, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxrs, p-cpe:/a:redhat:enterprise_linux:jboss-as-jdr, p-cpe:/a:redhat:enterprise_linux:jboss-as-jmx, p-cpe:/a:redhat:enterprise_linux:jboss-as-jpa, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsf, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsr77, p-cpe:/a:redhat:enterprise_linux:jboss-as-logging, p-cpe:/a:redhat:enterprise_linux:jboss-as-mail, p-cpe:/a:redhat:enterprise_linux:jboss-as-management-client-content, p-cpe:/a:redhat:enterprise_linux:jboss-as-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-as-modcluster, p-cpe:/a:redhat:enterprise_linux:jboss-as-naming, p-cpe:/a:redhat:enterprise_linux:jboss-as-network, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-configadmin, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-service, p-cpe:/a:redhat:enterprise_linux:jboss-as-platform-mbean, p-cpe:/a:redhat:enterprise_linux:jboss-as-pojo, p-cpe:/a:redhat:enterprise_linux:jboss-as-process-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-protocol, p-cpe:/a:redhat:enterprise_linux:jboss-as-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-as-sar, p-cpe:/a:redhat:enterprise_linux:jboss-as-security, p-cpe:/a:redhat:enterprise_linux:jboss-as-server, p-cpe:/a:redhat:enterprise_linux:jboss-as-system-jmx, p-cpe:/a:redhat:enterprise_linux:jboss-as-threads, p-cpe:/a:redhat:enterprise_linux:jboss-as-transactions, p-cpe:/a:redhat:enterprise_linux:jboss-as-version, p-cpe:/a:redhat:enterprise_linux:jboss-as-web, p-cpe:/a:redhat:enterprise_linux:jboss-as-webservices, p-cpe:/a:redhat:enterprise_linux:jboss-as-weld, p-cpe:/a:redhat:enterprise_linux:jboss-as-xts, p-cpe:/a:redhat:enterprise_linux:jboss-ejb-client, p-cpe:/a:redhat:enterprise_linux:jboss-hal, p-cpe:/a:redhat:enterprise_linux:jboss-invocation, p-cpe:/a:redhat:enterprise_linux:jboss-jsp-api_2.2_spec, p-cpe:/a:redhat:enterprise_linux:jboss-logmanager, p-cpe:/a:redhat:enterprise_linux:jboss-marshalling, p-cpe:/a:redhat:enterprise_linux:jboss-modules, p-cpe:/a:redhat:enterprise_linux:jboss-remote-naming, p-cpe:/a:redhat:enterprise_linux:jboss-security-negotiation, p-cpe:/a:redhat:enterprise_linux:jboss-stdio, p-cpe:/a:redhat:enterprise_linux:jbossas-appclient, p-cpe:/a:redhat:enterprise_linux:jbossas-bundles, p-cpe:/a:redhat:enterprise_linux:jbossas-core, p-cpe:/a:redhat:enterprise_linux:jbossas-domain, p-cpe:/a:redhat:enterprise_linux:jbossas-hornetq-native, p-cpe:/a:redhat:enterprise_linux:jbossas-javadocs, p-cpe:/a:redhat:enterprise_linux:jbossas-modules-eap, p-cpe:/a:redhat:enterprise_linux:jbossas-product-eap, p-cpe:/a:redhat:enterprise_linux:jbossas-standalone, p-cpe:/a:redhat:enterprise_linux:jbossas-welcome-content-eap, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jbossws-common, p-cpe:/a:redhat:enterprise_linux:jbossws-cxf, p-cpe:/a:redhat:enterprise_linux:jbossws-spi, p-cpe:/a:redhat:enterprise_linux:jcip-annotations-eap6, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:log4j-jboss-logmanager, p-cpe:/a:redhat:enterprise_linux:mod_ssl, p-cpe:/a:redhat:enterprise_linux:netty, p-cpe:/a:redhat:enterprise_linux:opensaml, p-cpe:/a:redhat:enterprise_linux:openws, p-cpe:/a:redhat:enterprise_linux:picketbox, p-cpe:/a:redhat:enterprise_linux:picketlink-federation, p-cpe:/a:redhat:enterprise_linux:wss4j, p-cpe:/a:redhat:enterprise_linux:xml-security, cpe:/o:redhat:enterprise_linux:6

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2013/9/4

参考资料信息

CVE: CVE-2012-3499, CVE-2012-4558, CVE-2013-1862, CVE-2013-1896, CVE-2013-1921, CVE-2013-2172, CVE-2013-4112

BID: 58165, 59826, 60846, 61129, 61179, 62256

RHSA: 2013:1208