检测

RHEL 6:JBoss EAP (RHSA-2014:0171)

medium Nessus 插件 ID 72498

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的程序包提供了 Red Hat JBoss Enterprise Application Platform 6.2.1,修复了三个安全问题和若干缺陷,并增加了多种增强,现在可用于 Red Hat Enterprise Linux 6。

Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

Red Hat JBoss Enterprise Application Platform 6 是适用于基于 JBoss Application Server 7 的 Java 应用程序的平台。

已发现 OpenSAML Java 实现中的 ParserPool 和 Decrypter 类解析了外部实体,这可能引发 XML 外部实体 (XXE) 攻击。远程攻击者可利用此缺陷读取运行该应用程序服务器的用户可访问的文件,并且可能发动其他更高级的 XXE 攻击。
(CVE-2013-6440)

已发现 Apache Santuario XML Security for Java 项目允许在应用转换(甚至是启用了安全验证)时处理文档类型定义 (DTD)。远程攻击者可利用此缺陷耗尽系统中的所有可用内存,从而导致拒绝服务。(CVE-2013-4517)

在 Red Hat JBoss Enterprise Application Platform 中,当在安全管理器下运行时,已部署的代码可能在没有任何权限检查的情况下,访问 Modular Service Container (MSC) 服务注册表。这可能允许恶意的部署以各种方式修改服务器的内部状态。(CVE-2014-0018)

CVE-2013-6440 由 Gotham Digital Science 的 David Illsley 和 Ron Gutierrez,以及 Red Hat 安全响应团队的 David Jorm 发现;CVE-2014-0018 问题由 Red Hat 的 Stuart Douglas 发现。

此版本可替换 JBoss Enterprise Application Platform 6.2.0,并包含缺陷补丁和多项增强。很快将可在“参考”部分链接的 JBoss Enterprise Application Platform 6.2.1 发行说明中查看这些更改的文档。

建议 Red Hat Enterprise Linux 6 上的所有 Red Hat JBoss Enterprise Application Platform 6.2.0 用户升级这些更新后的程序包。必须重新启动 JBoss 服务器进程才能使更新生效。

解决方案

更新受影响的数据包。

另见

https://www.redhat.com/security/data/cve/CVE-2013-4517.html

https://www.redhat.com/security/data/cve/CVE-2013-6440.html

https://www.redhat.com/security/data/cve/CVE-2014-0018.html

https://access.redhat.com/site/documentation/en-US/

http://rhn.redhat.com/errata/RHSA-2014-0171.html

插件详情

严重性: Medium

ID: 72498

文件名: redhat-RHSA-2014-0171.nasl

版本: 1.12

类型: local

代理: unix

发布时间: 2014/2/14

最近更新时间: 2021/1/14

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 4.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:hornetq, p-cpe:/a:redhat:enterprise_linux:jacorb-jboss, p-cpe:/a:redhat:enterprise_linux:jboss-as-appclient, p-cpe:/a:redhat:enterprise_linux:jboss-as-cli, p-cpe:/a:redhat:enterprise_linux:jboss-as-client-all, p-cpe:/a:redhat:enterprise_linux:jboss-as-clustering, p-cpe:/a:redhat:enterprise_linux:jboss-as-cmp, p-cpe:/a:redhat:enterprise_linux:jboss-as-configadmin, p-cpe:/a:redhat:enterprise_linux:jboss-as-connector, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller-client, p-cpe:/a:redhat:enterprise_linux:jboss-as-core-security, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-repository, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-scanner, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-http, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-management, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee-deployment, p-cpe:/a:redhat:enterprise_linux:jboss-as-ejb3, p-cpe:/a:redhat:enterprise_linux:jboss-as-embedded, p-cpe:/a:redhat:enterprise_linux:jboss-as-host-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-jacorb, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxr, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxrs, p-cpe:/a:redhat:enterprise_linux:jboss-as-jdr, p-cpe:/a:redhat:enterprise_linux:jboss-as-jmx, p-cpe:/a:redhat:enterprise_linux:jboss-as-jpa, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsf, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsr77, p-cpe:/a:redhat:enterprise_linux:jboss-as-logging, p-cpe:/a:redhat:enterprise_linux:jboss-as-mail, p-cpe:/a:redhat:enterprise_linux:jboss-as-management-client-content, p-cpe:/a:redhat:enterprise_linux:jboss-as-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-as-modcluster, p-cpe:/a:redhat:enterprise_linux:jboss-as-naming, p-cpe:/a:redhat:enterprise_linux:jboss-as-network, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-configadmin, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-service, p-cpe:/a:redhat:enterprise_linux:jboss-as-platform-mbean, p-cpe:/a:redhat:enterprise_linux:jboss-as-pojo, p-cpe:/a:redhat:enterprise_linux:jboss-as-process-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-protocol, p-cpe:/a:redhat:enterprise_linux:jboss-as-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-as-sar, p-cpe:/a:redhat:enterprise_linux:jboss-as-security, p-cpe:/a:redhat:enterprise_linux:jboss-as-server, p-cpe:/a:redhat:enterprise_linux:jboss-as-system-jmx, p-cpe:/a:redhat:enterprise_linux:jboss-as-threads, p-cpe:/a:redhat:enterprise_linux:jboss-as-transactions, p-cpe:/a:redhat:enterprise_linux:jboss-as-version, p-cpe:/a:redhat:enterprise_linux:jboss-as-web, p-cpe:/a:redhat:enterprise_linux:jboss-as-webservices, p-cpe:/a:redhat:enterprise_linux:jboss-as-weld, p-cpe:/a:redhat:enterprise_linux:jboss-as-xts, p-cpe:/a:redhat:enterprise_linux:jboss-logmanager, p-cpe:/a:redhat:enterprise_linux:jboss-marshalling, p-cpe:/a:redhat:enterprise_linux:jboss-xnio-base, p-cpe:/a:redhat:enterprise_linux:jbossas-core, p-cpe:/a:redhat:enterprise_linux:jbossas-javadocs, p-cpe:/a:redhat:enterprise_linux:jbossas-modules-eap, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:netty, p-cpe:/a:redhat:enterprise_linux:picketbox, p-cpe:/a:redhat:enterprise_linux:weld-core, p-cpe:/a:redhat:enterprise_linux:xml-security, p-cpe:/a:redhat:enterprise_linux:xmltooling, cpe:/o:redhat:enterprise_linux:6

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2014/2/13

参考资料信息

CVE: CVE-2013-4517, CVE-2013-6440, CVE-2014-0018

BID: 64345, 64437, 65591

RHSA: 2014:0171