RHEL 8: pki-core: 10.6およびpki-deps: 10.6(RHSA-2020: 4847)
critical Nessus プラグイン ID 142409
Language:
概要
リモートの Red Hat ホストに、1 つ以上のセキュリティ更新プログラムがありません。説明
リモートの Redhat Enterprise Linux 8 ホストにインストールされているパッケージは、RHSA-2020: 4847 のアドバイザリに記載されている複数の脆弱性の影響を受けます。- jquery: クロスドメインajaxリクエストによるクロスサイトスクリプティング (CVE-2015-9251)
- bootstrap: データターゲット属性のXSS(CVE-2016-10735)
- bootstrap: collapse data-parent属性のクロスサイトスクリプティング (XSS) (CVE-2018-14040)
- bootstrap: ツールチップのdata-containerプロパティのクロスサイトスクリプティング(XSS)(CVE-2018-14042)
- pki-core: CAのエージェントページの「パスの長さ」制約フィールドでの折り返し型 XSS(CVE-2019-10146)
- pki-core/pki-kra:認証リカバリタブのKRAのDRMエージェントページでのrecoveryID検索フィールドにおける折り返し型 XSS(CVE-2019-10179)
- pki-core:CAのgetcookies?url=エンドポイントの折り返し型 XSS(CVE-2019-10221)
- jquery: サービス拒否、リモートコード実行、またはプロパティインジェクションにつながる、オブジェクトのプロトタイプのプロトタイプ汚染 (CVE-2019-11358)
- bootstrap: ツールチップまたはポップオーバーデータテンプレート属性のXSS (CVE-2019-8331)
- jquery: injQuery.htmlPrefilterメソッドが不適切なことによるクロスサイトスクリプティング (CVE-2020-11022)
- jquery: DOM 操作メソッドへ渡される HTML の <option>タグを介した信頼されていないコード実行 (CVE-2020-11023)
- pki: Dogtagのpythonクライアントは、証明書を検証しません(CVE-2020-15720)
- pki-core: getPk12ページを介した折り返し型 XSSに対して脆弱なKRA(CVE-2020-1721)
- tomcat:Transfer-Encodingヘッダーの不適切な処理により、HTTPリクエストのスマグリングが発生する可能性があります(CVE-2020-1935)
- tomcat:Apache TomcatのAJPファイル読み取り/インクルージョンの脆弱性(CVE-2020-1938)
- pki-core: 証明書検索結果のXSS(CVE-2020-25715)
- tomcat: リクエストの取り違え (CVE-2022-25762)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
影響を受けるパッケージを更新してください。参考資料
http://www.nessus.org/u?21088f68
http://www.nessus.org/u?b7e37d18
https://access.redhat.com/security/updates/classification/#moderate
https://access.redhat.com/errata/RHSA-2020:4847
https://bugzilla.redhat.com/show_bug.cgi?id=1376706
https://bugzilla.redhat.com/show_bug.cgi?id=1399546
https://bugzilla.redhat.com/show_bug.cgi?id=1406505
https://bugzilla.redhat.com/show_bug.cgi?id=1601614
https://bugzilla.redhat.com/show_bug.cgi?id=1601617
https://bugzilla.redhat.com/show_bug.cgi?id=1666907
https://bugzilla.redhat.com/show_bug.cgi?id=1668097
https://bugzilla.redhat.com/show_bug.cgi?id=1686454
https://bugzilla.redhat.com/show_bug.cgi?id=1695901
https://bugzilla.redhat.com/show_bug.cgi?id=1701972
https://bugzilla.redhat.com/show_bug.cgi?id=1706521
https://bugzilla.redhat.com/show_bug.cgi?id=1710171
https://bugzilla.redhat.com/show_bug.cgi?id=1721684
https://bugzilla.redhat.com/show_bug.cgi?id=1724433
https://bugzilla.redhat.com/show_bug.cgi?id=1732565
https://bugzilla.redhat.com/show_bug.cgi?id=1732981
https://bugzilla.redhat.com/show_bug.cgi?id=1777579
https://bugzilla.redhat.com/show_bug.cgi?id=1805541
https://bugzilla.redhat.com/show_bug.cgi?id=1817247
https://bugzilla.redhat.com/show_bug.cgi?id=1821851
https://bugzilla.redhat.com/show_bug.cgi?id=1822246
https://bugzilla.redhat.com/show_bug.cgi?id=1824939
https://bugzilla.redhat.com/show_bug.cgi?id=1824948
https://bugzilla.redhat.com/show_bug.cgi?id=1825998
https://bugzilla.redhat.com/show_bug.cgi?id=1828406
https://bugzilla.redhat.com/show_bug.cgi?id=1842734
https://bugzilla.redhat.com/show_bug.cgi?id=1842736
https://bugzilla.redhat.com/show_bug.cgi?id=1843537
https://bugzilla.redhat.com/show_bug.cgi?id=1845447
https://bugzilla.redhat.com/show_bug.cgi?id=1850004
https://bugzilla.redhat.com/show_bug.cgi?id=1854043
https://bugzilla.redhat.com/show_bug.cgi?id=1854959
https://bugzilla.redhat.com/show_bug.cgi?id=1855273
https://bugzilla.redhat.com/show_bug.cgi?id=1855319
https://bugzilla.redhat.com/show_bug.cgi?id=1856368
https://bugzilla.redhat.com/show_bug.cgi?id=1857933
https://bugzilla.redhat.com/show_bug.cgi?id=1861911
https://bugzilla.redhat.com/show_bug.cgi?id=1869893
プラグインの詳細
深刻度: Critical
ID: 142409
ファイル名: redhat-RHSA-2020-4847.nasl
バージョン: 1.16
タイプ: local
エージェント: unix
公開日: 2020/11/4
更新日: 2024/4/28
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Agentless Assessment, Frictionless Assessment Agent, Nessus
リスク情報
VPR
リスクファクター: Critical
スコア: 9.0
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 6.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2022-25762
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 9.4
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:H/RL:O/RC:C
CVSS スコアのソース: CVE-2020-1938
脆弱性情報
CPE: cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:redhat:enterprise_linux:apache-commons-collections, p-cpe:/a:redhat:enterprise_linux:apache-commons-lang, p-cpe:/a:redhat:enterprise_linux:apache-commons-net, p-cpe:/a:redhat:enterprise_linux:bea-stax, p-cpe:/a:redhat:enterprise_linux:bea-stax-api, p-cpe:/a:redhat:enterprise_linux:glassfish-fastinfoset, p-cpe:/a:redhat:enterprise_linux:glassfish-jaxb, p-cpe:/a:redhat:enterprise_linux:glassfish-jaxb-api, p-cpe:/a:redhat:enterprise_linux:glassfish-jaxb-core, p-cpe:/a:redhat:enterprise_linux:glassfish-jaxb-runtime, p-cpe:/a:redhat:enterprise_linux:glassfish-jaxb-txw2, p-cpe:/a:redhat:enterprise_linux:jackson-annotations, p-cpe:/a:redhat:enterprise_linux:jackson-core, p-cpe:/a:redhat:enterprise_linux:jackson-databind, p-cpe:/a:redhat:enterprise_linux:jackson-jaxrs-json-provider, p-cpe:/a:redhat:enterprise_linux:jackson-jaxrs-providers, p-cpe:/a:redhat:enterprise_linux:jackson-module-jaxb-annotations, p-cpe:/a:redhat:enterprise_linux:jakarta-commons-httpclient, p-cpe:/a:redhat:enterprise_linux:javassist, p-cpe:/a:redhat:enterprise_linux:javassist-javadoc, p-cpe:/a:redhat:enterprise_linux:jss, p-cpe:/a:redhat:enterprise_linux:jss-javadoc, p-cpe:/a:redhat:enterprise_linux:ldapjdk, p-cpe:/a:redhat:enterprise_linux:ldapjdk-javadoc, p-cpe:/a:redhat:enterprise_linux:pki-base, p-cpe:/a:redhat:enterprise_linux:pki-base-java, p-cpe:/a:redhat:enterprise_linux:pki-ca, p-cpe:/a:redhat:enterprise_linux:pki-core, p-cpe:/a:redhat:enterprise_linux:pki-kra, p-cpe:/a:redhat:enterprise_linux:pki-server, p-cpe:/a:redhat:enterprise_linux:pki-servlet-4.0-api, p-cpe:/a:redhat:enterprise_linux:pki-servlet-engine, p-cpe:/a:redhat:enterprise_linux:pki-symkey, p-cpe:/a:redhat:enterprise_linux:pki-tools, p-cpe:/a:redhat:enterprise_linux:python-nss, p-cpe:/a:redhat:enterprise_linux:python-nss-doc, p-cpe:/a:redhat:enterprise_linux:python3-nss, p-cpe:/a:redhat:enterprise_linux:python3-pki, p-cpe:/a:redhat:enterprise_linux:relaxngdatatype, p-cpe:/a:redhat:enterprise_linux:resteasy, p-cpe:/a:redhat:enterprise_linux:slf4j, p-cpe:/a:redhat:enterprise_linux:slf4j-jdk14, p-cpe:/a:redhat:enterprise_linux:stax-ex, p-cpe:/a:redhat:enterprise_linux:tomcatjss, p-cpe:/a:redhat:enterprise_linux:velocity, p-cpe:/a:redhat:enterprise_linux:xalan-j2, p-cpe:/a:redhat:enterprise_linux:xerces-j2, p-cpe:/a:redhat:enterprise_linux:xml-commons-apis, p-cpe:/a:redhat:enterprise_linux:xml-commons-resolver, p-cpe:/a:redhat:enterprise_linux:xmlstreambuffer, p-cpe:/a:redhat:enterprise_linux:xsom
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2020/11/4
脆弱性公開日: 2018/1/18
CISA の既知の悪用された脆弱性の期限日: 2022/3/17
参照情報
CVE: CVE-2015-9251, CVE-2016-10735, CVE-2018-14040, CVE-2018-14042, CVE-2019-10146, CVE-2019-10179, CVE-2019-10221, CVE-2019-11358, CVE-2019-8331, CVE-2020-11022, CVE-2020-11023, CVE-2020-15720, CVE-2020-1721, CVE-2020-1935, CVE-2020-1938, CVE-2020-25715, CVE-2022-25762