検出

プラグイン

RHEL 6: Red Hat JBoss Enterprise Application Platform 7.3.2（RHSA-2020: 3461)

critical Nessus プラグイン ID 139618

Language:

概要

リモートの Red Hat ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Redhat Enterprise Linux 6ホストにインストールされているパッケージは、RHSA-2020: 3461のアドバイザリ。

- hibernate：Hibernate ORMでのSQLインジェクションの問題（CVE-2019-14900）

- jackson-databind: は、シリアル化ガジェットとタイピングの間の相互作用を不適切に処理し、リモートコマンドの実行を引き起こす可能性があります（CVE-2020-10672、 CVE-2020-10673）

- dom4j: デフォルトのSAXパーサーにおけるXML外部エンティティの脆弱性（CVE-2020-10683）

- Undertow: HTTPリクエストで無効な文字を許可することによるCVE-2017-2666の不完全な修正（CVE-2020-10687）

- hibernate-validator: 制約エラーメッセージの補間における不適切な入力検証（CVE-2020-10693）

- wildfly-elytron: FORM認証時のセッション固定（CVE-2020-10714）

- wildfly: EmbeddedManagedProcess API経由のTCCLの設定露出（CVE-2020-10718）

- wildfly: Wildfly Enterprise Java Beansに危険な逆シリアル化（CVE-2020-10740）

-netty: 圧縮/展開コーデックはバッファ割り当てサイズの制限を実施していません（CVE-2020-11612）

- wildfly：一部のEJBトランザクションオブジェクトが蓄積され、サービス拒否を引き起こす可能性があります（CVE-2020-14297）

- wildfly: 応答の受信後にEJB SessionOpenInvocationsが適切に削除されないためにサービス拒否が引き起こされる可能性があります（CVE-2020-14307）

- EAP: フィールド名がRFC7230に従って解析されていません（CVE-2020-1710）

- Wildfly: 代替保護ドメインを使用する際のWildFlySecurityManagerの不適切な認証問題（CVE-2020-1748）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?34e23b20

http://www.nessus.org/u?39676da8

http://www.nessus.org/u?eae4911f

https://access.redhat.com/errata/RHSA-2020:3461

https://bugzilla.redhat.com/show_bug.cgi?id=1666499

https://bugzilla.redhat.com/show_bug.cgi?id=1694235

https://bugzilla.redhat.com/show_bug.cgi?id=1785049

https://bugzilla.redhat.com/show_bug.cgi?id=1793970

https://bugzilla.redhat.com/show_bug.cgi?id=1805501

https://bugzilla.redhat.com/show_bug.cgi?id=1807707

https://bugzilla.redhat.com/show_bug.cgi?id=1815470

https://bugzilla.redhat.com/show_bug.cgi?id=1815495

https://bugzilla.redhat.com/show_bug.cgi?id=1825714

https://bugzilla.redhat.com/show_bug.cgi?id=1828476

https://bugzilla.redhat.com/show_bug.cgi?id=1834512

https://bugzilla.redhat.com/show_bug.cgi?id=1853595

https://issues.redhat.com/browse/JBEAP-19095

https://issues.redhat.com/browse/JBEAP-19134

https://issues.redhat.com/browse/JBEAP-19185

https://issues.redhat.com/browse/JBEAP-19203

https://issues.redhat.com/browse/JBEAP-19269

https://issues.redhat.com/browse/JBEAP-19322

https://issues.redhat.com/browse/JBEAP-19325

https://issues.redhat.com/browse/JBEAP-19397

https://issues.redhat.com/browse/JBEAP-19409

https://issues.redhat.com/browse/JBEAP-19529

https://issues.redhat.com/browse/JBEAP-19564

https://issues.redhat.com/browse/JBEAP-19585

https://issues.redhat.com/browse/JBEAP-19617

https://issues.redhat.com/browse/JBEAP-19619

https://issues.redhat.com/browse/JBEAP-19673

https://issues.redhat.com/browse/JBEAP-19674

https://issues.redhat.com/browse/JBEAP-19874

https://access.redhat.com/security/updates/classification/#important

プラグインの詳細

深刻度: Critical

ID: 139618

ファイル名: redhat-RHSA-2020-3461.nasl

バージョン: 1.9

タイプ: local

エージェント: unix

ファミリー: Red Hat Local Security Checks

公開日: 2020/8/17

更新日: 2024/4/28

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2020-10683

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:eap7-dom4j, p-cpe:/a:redhat:enterprise_linux:eap7-elytron-web, p-cpe:/a:redhat:enterprise_linux:eap7-glassfish-jsf, p-cpe:/a:redhat:enterprise_linux:eap7-hal-console, p-cpe:/a:redhat:enterprise_linux:eap7-hibernate, p-cpe:/a:redhat:enterprise_linux:eap7-hibernate-core, p-cpe:/a:redhat:enterprise_linux:eap7-hibernate-entitymanager, p-cpe:/a:redhat:enterprise_linux:eap7-hibernate-envers, p-cpe:/a:redhat:enterprise_linux:eap7-hibernate-java8, p-cpe:/a:redhat:enterprise_linux:eap7-hibernate-validator, p-cpe:/a:redhat:enterprise_linux:eap7-hibernate-validator-cdi, p-cpe:/a:redhat:enterprise_linux:eap7-infinispan, p-cpe:/a:redhat:enterprise_linux:eap7-infinispan-cachestore-jdbc, p-cpe:/a:redhat:enterprise_linux:eap7-infinispan-cachestore-remote, p-cpe:/a:redhat:enterprise_linux:eap7-infinispan-client-hotrod, p-cpe:/a:redhat:enterprise_linux:eap7-infinispan-commons, p-cpe:/a:redhat:enterprise_linux:eap7-infinispan-core, p-cpe:/a:redhat:enterprise_linux:eap7-infinispan-hibernate-cache-commons, p-cpe:/a:redhat:enterprise_linux:eap7-infinispan-hibernate-cache-spi, p-cpe:/a:redhat:enterprise_linux:eap7-infinispan-hibernate-cache-v53, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar-common-api, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar-common-impl, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar-common-spi, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar-core-api, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar-core-impl, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar-deployers-common, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar-jdbc, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar-validator, p-cpe:/a:redhat:enterprise_linux:eap7-jackson-annotations, p-cpe:/a:redhat:enterprise_linux:eap7-jackson-core, p-cpe:/a:redhat:enterprise_linux:eap7-jackson-databind, p-cpe:/a:redhat:enterprise_linux:eap7-jackson-datatype-jdk8, p-cpe:/a:redhat:enterprise_linux:eap7-jackson-datatype-jsr310, p-cpe:/a:redhat:enterprise_linux:eap7-jackson-jaxrs-base, p-cpe:/a:redhat:enterprise_linux:eap7-jackson-jaxrs-json-provider, p-cpe:/a:redhat:enterprise_linux:eap7-jackson-jaxrs-providers, p-cpe:/a:redhat:enterprise_linux:eap7-jackson-module-jaxb-annotations, p-cpe:/a:redhat:enterprise_linux:eap7-jackson-modules-base, p-cpe:/a:redhat:enterprise_linux:eap7-jackson-modules-java8, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-genericjms, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-jsf-api_2.3_spec, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-logmanager, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-cli, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-core, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap6.4, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap6.4-to-eap7.3, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap7.0, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap7.1, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap7.2, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap7.2-to-eap7.3, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap7.3-server, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly10.0, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly10.1, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly11.0, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly12.0, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly13.0-server, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly14.0-server, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly15.0-server, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly16.0-server, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly17.0-server, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly18.0-server, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly8.2, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly9.0, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-xnio-base, p-cpe:/a:redhat:enterprise_linux:eap7-netty, p-cpe:/a:redhat:enterprise_linux:eap7-netty-all, p-cpe:/a:redhat:enterprise_linux:eap7-undertow, p-cpe:/a:redhat:enterprise_linux:eap7-undertow-server, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-common, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-elytron, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-elytron-tool, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-http-client, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-http-client-common, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-http-ejb-client, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-http-naming-client, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-http-transaction-client, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-javadocs, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-modules

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/8/17

脆弱性公開日: 2020/3/18

参照情報

CVE: CVE-2019-14900, CVE-2020-10672, CVE-2020-10673, CVE-2020-10683, CVE-2020-10687, CVE-2020-10693, CVE-2020-10714, CVE-2020-10718, CVE-2020-10740, CVE-2020-11612, CVE-2020-14297, CVE-2020-14307, CVE-2020-1710, CVE-2020-1748

CWE: 113, 20, 285, 384, 400, 404, 444, 502, 611, 749, 89, 96

IAVA: 2020-A-0324, 2021-A-0032, 2021-A-0035-S, 2021-A-0196, 2021-A-0326, 2021-A-0328

RHSA: 2020:3461