RHEL 5 / 6:JBoss EAP (RHSA-2014:0843)

medium Nessus 插件 ID 76401
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Red Hat 主机缺少安全更新。

描述

更新后的 Red Hat JBoss Enterprise Application Platform 6.2.4 程序包修复了多个安全问题,现在可用于 Red Hat Enterprise Linux 5 和 6。

Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

Red Hat JBoss Enterprise Application Platform 6 是适用于基于 JBoss Application Server 7 的 Java 应用程序的平台。

已发现 JBoss Web 在使用分块传输编码时未对区块大小的长度进行限制。远程攻击者可利用此缺陷,通过对无限量数据进行流式处理,针对 JBoss Web 发起拒绝服务攻击,从而导致过度消耗服务器资源。(CVE-2014-0075)

已发现 JBoss Web 在解析请求内容长度标头时未检查溢出值。远程攻击者可利用此缺陷,对位于可正确处理内容长度标头的反向代理后方的 JBoss Web 服务器发起 HTTP 请求走私攻击。(CVE-2014-0099)

已发现 JBoss Web 中的 org.apache.catalina.servlets.DefaultServlet 实现允许在提供的 XSLT 中定义 XML 外部实体 (XXE)。恶意应用程序可利用此问题避开预设的安全限制,以泄露敏感信息。(CVE-2014-0096)

已发现在某些情况下,恶意 Web 应用程序可能替换 JBoss Web 用来为默认 servlet、JSP 文档、标签库描述符 (TLD) 和标签插件配置文件处理 XSLT 的 XML 解析器。注入的 XML 解析器可随后绕过在 XML 外部实体上施加的限制,和/或访问为在同一 JBoss Web 实例上部署的其他 Web 应用程序处理的 XML 文件。(CVE-2014-0119)

CVE-2014-0075 问题由 Red Hat 产品安全的 David Jorm 发现。

建议 Red Hat Enterprise Linux 5 和 6 上的所有 Red Hat JBoss Enterprise Application Platform 6.2.4 用户升级这些更新后的程序包。必须重新启动 JBoss 服务器进程才能使更新生效。

解决方案

更新受影响的 jbossweb 程序包。

另见

https://access.redhat.com/errata/RHSA-2014:0843

https://access.redhat.com/security/cve/cve-2014-0075

https://access.redhat.com/security/cve/cve-2014-0096

https://access.redhat.com/security/cve/cve-2014-0099

https://access.redhat.com/security/cve/cve-2014-0119

插件详情

严重性: Medium

ID: 76401

文件名: redhat-RHSA-2014-0843.nasl

版本: 1.16

类型: local

代理: unix

发布时间: 2014/7/8

最近更新时间: 2021/1/14

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: Medium

分数: 4.2

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.7

矢量: AV:N/AC:L/Au:N/C:N/I:N/A:P

时间矢量: E:U/RL:OF/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:jbossweb, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:6

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2014/7/7

漏洞发布日期: 2014/5/31

参考资料信息

CVE: CVE-2014-0075, CVE-2014-0096, CVE-2014-0099, CVE-2014-0119

BID: 67667, 67668, 67669, 67671

RHSA: 2014:0843