RHEL 6:RHEL 6上のRed Hat JBoss Enterprise Application Platform 7.2.7 (RHSA-2020: 0804)

critical Nessus プラグイン ID 134612

概要

リモートの Red Hat ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Redhat Enterprise Linux 6ホストにインストールされているパッケージは、RHSA-2020: 0804アドバイザリに記載されている複数の脆弱性の影響を受けます。

- thrift: 特定の入力データでフィードする際の無限ループ(CVE-2019-0205)

- thrift: TJSONProtocolまたはTSimpleJSONProtocolに関連する領域外読み取り(CVE-2019-0210)

- apache-commons-beanutils: デフォルトでPropertyUtilsBean内のクラスプロパティを抑制しない(CVE-2019-10086)

- xml-security:Apache Santuarioが信頼できないソースからXML構文解析コードをロードする可能性(CVE-2019-12400)

- wildfly:OpenSSLセキュリティプロバイダーが使用中の場合、レガシーセキュリティの「enabled-protocols」の値が考慮されない(CVE-2019-14887)

-netty:HTTPリクエストスマグリング(CVE-2019-20444)

-netty:HttpObjectDecoder.javaは、Content-Lengthヘッダーに2つ目のContent-Lengthヘッダーが伴うことを許可します(CVE-2019-20445)

-netty:転送エンコード空白の不適切な処理によるHTTPリクエストのスマグリング(CVE-2020-7238)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/security/cve/CVE-2019-0205

https://access.redhat.com/security/cve/CVE-2019-0210

https://access.redhat.com/security/cve/CVE-2019-10086

https://access.redhat.com/security/cve/CVE-2019-12400

https://access.redhat.com/security/cve/CVE-2019-14887

https://access.redhat.com/security/cve/CVE-2019-20444

https://access.redhat.com/security/cve/CVE-2019-20445

https://access.redhat.com/security/cve/CVE-2020-7238

https://access.redhat.com/errata/RHSA-2020:0804

https://bugzilla.redhat.com/1764607

https://bugzilla.redhat.com/1764612

https://bugzilla.redhat.com/1764658

https://bugzilla.redhat.com/1767483

https://bugzilla.redhat.com/1772008

https://bugzilla.redhat.com/1796225

https://bugzilla.redhat.com/1798509

https://bugzilla.redhat.com/1798524

プラグインの詳細

深刻度: Critical

ID: 134612

ファイル名: redhat-RHSA-2020-0804.nasl

バージョン: 1.8

タイプ: local

エージェント: unix

公開日: 2020/3/16

更新日: 2024/3/21

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.0

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2019-10086

CVSS v3

リスクファクター: Critical

Base Score: 9.1

Temporal Score: 8.2

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2019-20445

脆弱性情報

CPE: cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-cli, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-commons, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-core-client, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-dto, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-hornetq-protocol, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-hqclient-protocol, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-jdbc-store, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-jms-client, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-jms-server, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-journal, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-ra, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-selector, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-server, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-service-extensions, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-tools, p-cpe:/a:redhat:enterprise_linux:eap7-apache-commons-beanutils, p-cpe:/a:redhat:enterprise_linux:eap7-codemodel, p-cpe:/a:redhat:enterprise_linux:eap7-glassfish-el, p-cpe:/a:redhat:enterprise_linux:eap7-glassfish-el-impl, p-cpe:/a:redhat:enterprise_linux:eap7-glassfish-jaxb, p-cpe:/a:redhat:enterprise_linux:eap7-glassfish-jsf, p-cpe:/a:redhat:enterprise_linux:eap7-hal-console, p-cpe:/a:redhat:enterprise_linux:eap7-hibernate, p-cpe:/a:redhat:enterprise_linux:eap7-hibernate-core, p-cpe:/a:redhat:enterprise_linux:eap7-hibernate-entitymanager, p-cpe:/a:redhat:enterprise_linux:eap7-hibernate-envers, p-cpe:/a:redhat:enterprise_linux:eap7-hibernate-java8, p-cpe:/a:redhat:enterprise_linux:eap7-infinispan, p-cpe:/a:redhat:enterprise_linux:eap7-infinispan-cachestore-jdbc, p-cpe:/a:redhat:enterprise_linux:eap7-infinispan-cachestore-remote, p-cpe:/a:redhat:enterprise_linux:eap7-infinispan-client-hotrod, p-cpe:/a:redhat:enterprise_linux:eap7-infinispan-commons, p-cpe:/a:redhat:enterprise_linux:eap7-infinispan-core, p-cpe:/a:redhat:enterprise_linux:eap7-infinispan-hibernate-cache-commons, p-cpe:/a:redhat:enterprise_linux:eap7-infinispan-hibernate-cache-spi, p-cpe:/a:redhat:enterprise_linux:eap7-infinispan-hibernate-cache-v53, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar-common-api, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar-common-impl, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar-common-spi, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar-core-api, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar-core-impl, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar-deployers-common, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar-jdbc, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar-validator, p-cpe:/a:redhat:enterprise_linux:eap7-istack-commons-runtime, p-cpe:/a:redhat:enterprise_linux:eap7-istack-commons-tools, p-cpe:/a:redhat:enterprise_linux:eap7-jackson-databind, p-cpe:/a:redhat:enterprise_linux:eap7-jaegertracing-jaeger-client-java, p-cpe:/a:redhat:enterprise_linux:eap7-jaegertracing-jaeger-client-java-core, p-cpe:/a:redhat:enterprise_linux:eap7-jaegertracing-jaeger-client-java-thrift, p-cpe:/a:redhat:enterprise_linux:eap7-jaxb-jxc, p-cpe:/a:redhat:enterprise_linux:eap7-jaxb-runtime, p-cpe:/a:redhat:enterprise_linux:eap7-jaxb-xjc, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap6.4-to-eap7.2, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap7.0-to-eap7.2, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap7.1-to-eap7.2, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap7.2, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly10.0-to-eap7.2, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly10.1-to-eap7.2, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly11.0-to-eap7.2, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly12.0-to-eap7.2, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly8.2-to-eap7.2, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly9.0-to-eap7.2, p-cpe:/a:redhat:enterprise_linux:eap7-picketlink-bindings, p-cpe:/a:redhat:enterprise_linux:eap7-picketlink-wildfly8, p-cpe:/a:redhat:enterprise_linux:eap7-relaxng-datatype, p-cpe:/a:redhat:enterprise_linux:eap7-rngom, p-cpe:/a:redhat:enterprise_linux:eap7-stax2-api, p-cpe:/a:redhat:enterprise_linux:eap7-sun-istack-commons, p-cpe:/a:redhat:enterprise_linux:eap7-thrift, p-cpe:/a:redhat:enterprise_linux:eap7-txw2, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-http-client-common, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-http-ejb-client, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-http-naming-client, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-http-transaction-client, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-javadocs, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-modules, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-openssl, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-openssl-java, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-openssl-linux-x86_64, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-transaction-client, p-cpe:/a:redhat:enterprise_linux:eap7-woodstox-core, p-cpe:/a:redhat:enterprise_linux:eap7-xml-security, p-cpe:/a:redhat:enterprise_linux:eap7-xsom

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2020/3/12

脆弱性公開日: 2019/8/20

参照情報

CVE: CVE-2019-0205, CVE-2019-0210, CVE-2019-10086, CVE-2019-12400, CVE-2019-14887, CVE-2019-20444, CVE-2019-20445, CVE-2020-7238

CWE: 125, 20, 400, 444, 502, 757

IAVA: 2020-A-0140, 2020-A-0328, 2021-A-0035-S, 2021-A-0196, 2021-A-0328

RHSA: 2020:0804