RHEL 5:JBoss Web Server (RHSA-2013:1011)
medium Nessus 插件 ID 76237
语言:
简介
远程 Red Hat 主机缺少一个或多个安全更新。描述
Red Hat JBoss Web Server 2.0.1 修复了多个安全问题和若干漏洞,现在可用于 Red Hat Enterprise Linux 5。Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。
Red Hat JBoss Web Server 是一组用于托管 Java Web 应用程序的完全集成且经过认证的组件。它由 Apache HTTP Server、Apache Tomcat Servlet 容器、Apache Tomcat Connector (mod_jk)、JBoss HTTP Connector (mod_cluster)、Hibernate 和 Tomcat Native 库组成。
此版本替换了 Red Hat JBoss Web Server 2.0.0 并包含数个缺陷补丁。有关其中最重要更改的信息,请参阅 Red Hat JBoss Web Server 2.0.1 发行说明,具体内容短期内将于以下网址中提供: https://access.redhat.com/site/documentation/
此版本还修复了以下安全问题:
在 Apache HTTP Server mod_proxy_balancer 模块的管理器 web 界面中发现跨站脚本 (XSS) 缺陷。如果远程攻击者可诱骗登录到管理器 Web 界面的用户访问特别构建的 URL,则将导致在用户管理器界面会话的上下文中执行任意 Web 脚本。(CVE-2012-4558)
在 Apache HTTP Server 的 mod_info、mod_status、mod_imagemap、mod_ldap 和 mod_proxy_ftp 模块中发现跨站脚本 (XSS) 缺陷。如果攻击者能够使受害者的浏览器生成带有特别构建的主机标头的 HTTP 请求,则他们便可能利用这些缺陷发动 XSS 攻击。(CVE-2012-3499)
在 Tomcat FormAuthenticator 模块中发现会话固定缺陷。在窄时间窗内,如果远程攻击者在用户登录时发送请求,可能导致攻击者的请求如同由用户发送一样被处理。
(CVE-2013-2067)
在 Tomcat 分块传输编码输入过滤器处理 CRLF 序列的方式中发现一个拒绝服务缺陷。远程攻击者可利用此缺陷发送超长请求,从而消耗 Tomcat 服务器上的网络带宽、CPU 和内存。
默认情况下启用分块传输编码。(CVE-2012-3544)
某些情况下,在 Tomcat 7 异步上下文实现执行请求管理的方式中发现一个缺陷。
如果应用程序使用 AsyncListeners 并抛出 RuntimeExceptions,则 Tomcat 可以发送包含来自不同用户请求的信息的回复,从而导致敏感信息泄露。此问题仅影响 Tomcat 7。(CVE-2013-2071)
注意:请勿在安装有 Red Hat JBoss Web Server 1 的主机上安装 Red Hat JBoss Web Server 2。
警告:在应用该更新之前,请对 Red Hat JBoss Web Server(包括所有应用程序和配置文件)的现有安装进行备份。
建议 Red Hat Enterprise Linux 5 上 Red Hat JBoss Web Server 2.0.0 的所有用户都升级到 Red Hat JBoss Web Server 2.0.1。必须重新启动 JBoss 服务器进程以使此更新生效。
解决方案
更新受影响的数据包。另见
https://access.redhat.com/site/documentation/
https://access.redhat.com/site/documentation/en-US/
https://access.redhat.com/errata/RHSA-2013:1011
https://access.redhat.com/security/cve/cve-2012-4558
https://access.redhat.com/security/cve/cve-2012-3499
https://access.redhat.com/security/cve/cve-2013-2067
插件详情
严重性: Medium
ID: 76237
文件名: redhat-RHSA-2013-1011.nasl
版本: 1.16
类型: local
代理: unix
发布时间: 2014/6/26
最近更新时间: 2021/1/14
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.6
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5.9
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:tomcat-native, p-cpe:/a:redhat:enterprise_linux:tomcat6, p-cpe:/a:redhat:enterprise_linux:tomcat6-admin-webapps, p-cpe:/a:redhat:enterprise_linux:tomcat6-docs-webapp, p-cpe:/a:redhat:enterprise_linux:tomcat6-el-1.0-api, p-cpe:/a:redhat:enterprise_linux:tomcat6-javadoc, p-cpe:/a:redhat:enterprise_linux:tomcat6-jsp-2.1-api, p-cpe:/a:redhat:enterprise_linux:tomcat6-lib, p-cpe:/a:redhat:enterprise_linux:tomcat6-log4j, p-cpe:/a:redhat:enterprise_linux:tomcat6-servlet-2.5-api, p-cpe:/a:redhat:enterprise_linux:tomcat6-webapps, p-cpe:/a:redhat:enterprise_linux:tomcat7, p-cpe:/a:redhat:enterprise_linux:tomcat7-admin-webapps, p-cpe:/a:redhat:enterprise_linux:tomcat7-docs-webapp, p-cpe:/a:redhat:enterprise_linux:tomcat7-el-1.0-api, p-cpe:/a:redhat:enterprise_linux:tomcat7-javadoc, p-cpe:/a:redhat:enterprise_linux:tomcat7-jsp-2.2-api, p-cpe:/a:redhat:enterprise_linux:tomcat7-lib, p-cpe:/a:redhat:enterprise_linux:tomcat7-log4j, p-cpe:/a:redhat:enterprise_linux:tomcat7-servlet-3.0-api, p-cpe:/a:redhat:enterprise_linux:tomcat7-webapps, cpe:/o:redhat:enterprise_linux:5, p-cpe:/a:redhat:enterprise_linux:apache-commons-daemon-eap6, p-cpe:/a:redhat:enterprise_linux:apache-commons-daemon-jsvc-eap6, p-cpe:/a:redhat:enterprise_linux:apache-commons-pool-eap6, p-cpe:/a:redhat:enterprise_linux:apache-commons-pool-tomcat-eap6, p-cpe:/a:redhat:enterprise_linux:dom4j, p-cpe:/a:redhat:enterprise_linux:ecj3, p-cpe:/a:redhat:enterprise_linux:httpd, p-cpe:/a:redhat:enterprise_linux:httpd-devel, p-cpe:/a:redhat:enterprise_linux:httpd-manual, p-cpe:/a:redhat:enterprise_linux:httpd-tools, p-cpe:/a:redhat:enterprise_linux:mod_cluster, p-cpe:/a:redhat:enterprise_linux:mod_cluster-demo, p-cpe:/a:redhat:enterprise_linux:mod_cluster-native, p-cpe:/a:redhat:enterprise_linux:mod_cluster-tomcat6, p-cpe:/a:redhat:enterprise_linux:mod_cluster-tomcat7, p-cpe:/a:redhat:enterprise_linux:mod_jk-ap22, p-cpe:/a:redhat:enterprise_linux:mod_jk-manual, p-cpe:/a:redhat:enterprise_linux:mod_ssl
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2013/7/3
参考资料信息
CVE: CVE-2012-3499, CVE-2012-3544, CVE-2012-4558, CVE-2013-2067, CVE-2013-2071
RHSA: 2013:1011