検出

RHEL 6:activemq(RHSA-2014:0245)

high Nessus プラグイン ID 119346

Language:

概要

リモートのRed Hatホストに1つまたは複数のセキュリティ更新プログラムがありません。

説明

複数のセキュリティの問題を修正したactivemqの更新済みパッケージがRed Hat OpenShift Enterprise 2.0で利用可能になりました。Red Hatセキュリティレスポンスチームは、この更新がセキュリティに及ぼす影響を重要度高として評価しています。詳細な重要度の評価を提供するCommon Vulnerability Scoring System(CVSS)のベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに確認できます。Apache ActiveMQは、異種システム間でプロセスを接続するためのSOAインフラストラクチャを提供します。Apache CamelによるFILE_NAMEヘッダーの解析に欠陥が見つかりました。提供されたメッセージをファイルに書き込むCamelルートにメッセージを送信できるリモートの攻撃者が、FILE_NAMEヘッダーにExpression Language(EL)式を提供し、これがサーバーで計算される可能性があります。これにより、Camelサーバープロセスのコンテキストで任意のコードがリモートで実行される可能性があります。(CVE-2013-4330)Apache Camel XSLTコンポーネントにより、XSLスタイルシートから外部のJavaメソッドを呼び出せることがわかりました。Camelルートにメッセージを送信できるリモートの攻撃者が、この欠陥を悪用してCamelサーバープロセスのコンテキストで任意のコードをリモートで実行する可能性があります。(CVE-2014-0003)JAXB unmarshallerを使用しているとき、Spring OXMラッパーは、エンティティ解決を無効にするプロパティを明らかにしないことが発見されました。リモートの攻撃者がこの欠陥を悪用し、Webサイトに対してXML外部エンティティ(XXE)攻撃を仕掛け、アプリケーションサーバーを実行しているユーザーのコンテキストでファイルを読み取る可能性があります。この欠陥に対するパッチは、外部エンティティの処理をデフォルトで無効にし、これを再度有効にする構成ディレクティブを提供します。(CVE-2013-4152)ネイティブライブラリがJARファイルにバンドルされており、カスタムのライブラリパスが指定されていないとき、HawtJNI Libraryクラスはネイティブライブラリを/tmp/の中の予測可能なファイル名に書き込みます。HawtJNIがネイティブライブラリの書き込みを行ってから実行するまでの間に、ローカルの攻撃者が、悪意のあるバージョンで、これらのネイティブライブラリを上書きする可能性があります。(CVE-2013-2035)CVE-2013-2035の問題は、Red Hat製品セキュリティチームのFlorian Weimer氏により発見され、CVE-2014-0003の問題は、Red HatセキュリティレスポンスチームのDavid Jorm氏により発見されました。Red Hat OpenShift Enterprise 2.0のすべてのユーザーは、この更新済みパッケージにアップグレードし、これらの問題を解決することが推奨されます。

ソリューション

影響を受けるactivemqやactivemq-clientパッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2014:0245

https://access.redhat.com/security/cve/cve-2013-2035

https://access.redhat.com/security/cve/cve-2013-4330

https://access.redhat.com/security/cve/cve-2013-4152

https://access.redhat.com/security/cve/cve-2014-0003

プラグインの詳細

深刻度: High

ID: 119346

ファイル名: redhat-RHSA-2014-0245.nasl

バージョン: 1.8

タイプ: local

エージェント: unix

公開日: 2018/12/4

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:activemq, p-cpe:/a:redhat:enterprise_linux:activemq-client, cpe:/o:redhat:enterprise_linux:6

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/3/3

脆弱性公開日: 2013/8/28

参照情報

CVE: CVE-2013-2035, CVE-2013-4152, CVE-2013-4330, CVE-2014-0003

RHSA: 2014:0245