RHEL 8: Red Hat JBoss Enterprise Application Platform 7.4.15 のセキュリティ更新プログラム (重要度中) (RHSA-2024: 0711)
high Nessus プラグイン ID 190092
Language:
概要
リモートの Red Hat ホストに 1 つ以上のセキュリティ更新プログラムがありません。説明
リモートの Redhat Enterprise Linux 8 ホストにインストールされているパッケージは、RHSA-2024: 0711 のアドバイザリに記載されている複数の脆弱性の影響を受けます。- 2.2.6、2.3.4、3.0.3 より前の Apache Santuario - XML Security for Java のすべてのバージョンでは、JSR 105 API を使用している場合、XML 署名を生成する際にデバッグレベルのロギングが有効になっていると、ログファイルに秘密鍵が開示される可能性があります。ユーザーには、この問題を修正したバージョンであるバージョン 2.2.6、2.3.4、3.0.3 へのアップグレードをお勧めします。(CVE-2023-44483)
- Eclipse JGit <= 6.6.0 の任意のファイルの上書き。Eclipse JGit のすべてのバージョン <= <= 6.6.0.202305301015-r では、大文字小文字を区別しないファイルシステムに JGit でリポジトリをクローンした場合や、そのようなリポジトリのクローンから大文字小文字を区別しないファイルシステムにチェックアウトした場合に、特別に細工された git リポジトリに存在するシンボリックリンクを使って作業ツリー外の場所にファイルを書き込む可能性があります。これは、チェックアウト (DirCacheCheckout)、マージ (WorkingTreeUpdater を介した ResolveMerger)、プル (マージを使用した PullCommand)、パッチの適用 (PatchApplier) 時に発生する可能性があります。たとえば、作業ツリー外に書き込まれたファイルが git フィルターであり、後続の git コマンドで実行される場合、リモートコードの実行 (RCE) に悪用される可能性があります。この問題は、Windows や macOS のデフォルトのファイルシステムなど、大文字小文字を区別しないファイルシステムでのみ発生します。この問題を発生させるには、クローンまたはチェックアウトを実行するユーザーがシンボリックリンクを作成する権限を持ち、シンボリックリンクが git 設定で有効になっている必要があります。
チェックアウト前に git 設定オプション core.symlinks = false を設定することで、この問題を回避できます。この問題は、Eclipse JGit バージョン 6.6.1.202309021850-r および 6.7.0.202309050840-r で修正されており、Maven Central https://repo1.maven.org/maven2/org/eclipse/jgit/ および repo.eclipse.org https://repo.eclipse.org/content/repositories/jgit-releases/ から入手できます。 バックポートは、5.13.3 (5.13.3.202401111512-r から) で利用可能です。JGit メンテナーは、この問題を見つけて報告してくれた RyotaK 氏に感謝します。(CVE-2023-4759)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
http://www.nessus.org/u?327e7d12
http://www.nessus.org/u?4965d557
http://www.nessus.org/u?95a15247
https://access.redhat.com/security/updates/classification/#moderate
https://issues.redhat.com/browse/JBEAP-26021
https://issues.redhat.com/browse/JBEAP-26025
https://issues.redhat.com/browse/JBEAP-26049
https://issues.redhat.com/browse/JBEAP-26051
https://issues.redhat.com/browse/JBEAP-26101
https://issues.redhat.com/browse/JBEAP-26115
https://issues.redhat.com/browse/JBEAP-26159
https://issues.redhat.com/browse/JBEAP-26164
https://issues.redhat.com/browse/JBEAP-26169
https://issues.redhat.com/browse/JBEAP-26266
https://access.redhat.com/errata/RHSA-2024:0711
https://bugzilla.redhat.com/show_bug.cgi?id=2238614
https://bugzilla.redhat.com/show_bug.cgi?id=2246070
https://issues.redhat.com/browse/JBEAP-25375
https://issues.redhat.com/browse/JBEAP-25616
https://issues.redhat.com/browse/JBEAP-25785
プラグインの詳細
深刻度: High
ID: 190092
ファイル名: redhat-RHSA-2024-0711.nasl
バージョン: 1.2
タイプ: local
エージェント: unix
公開日: 2024/2/7
更新日: 2024/6/3
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 9
現状値: 6.7
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS スコアのソース: CVE-2023-4759
CVSS v3
リスクファクター: High
基本値: 8.8
現状値: 7.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:eap7-hibernate-core, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar-common-impl, p-cpe:/a:redhat:enterprise_linux:eap7-resteasy, p-cpe:/a:redhat:enterprise_linux:eap7-resteasy-jettison-provider, p-cpe:/a:redhat:enterprise_linux:eap7-resteasy-atom-provider, p-cpe:/a:redhat:enterprise_linux:eap7-jbossws-spi, p-cpe:/a:redhat:enterprise_linux:eap7-resteasy-validator-provider-11, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-modules, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar-validator, p-cpe:/a:redhat:enterprise_linux:eap7-resteasy-rxjava2, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-elytron-tool, p-cpe:/a:redhat:enterprise_linux:eap7-resteasy-jaxb-provider, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly, p-cpe:/a:redhat:enterprise_linux:eap7-resteasy-cdi, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-java-jdk17, p-cpe:/a:redhat:enterprise_linux:eap7-resteasy-client, p-cpe:/a:redhat:enterprise_linux:eap7-resteasy-multipart-provider, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-java-jdk8, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-cert-helper, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar, p-cpe:/a:redhat:enterprise_linux:eap7-resteasy-jackson-provider, p-cpe:/a:redhat:enterprise_linux:eap7-log4j2-jboss-logmanager, p-cpe:/a:redhat:enterprise_linux:eap7-resteasy-spring, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration, p-cpe:/a:redhat:enterprise_linux:eap7-eclipse-jgit, p-cpe:/a:redhat:enterprise_linux:eap7-hibernate-java8, p-cpe:/a:redhat:enterprise_linux:eap7-resteasy-jackson2-provider, p-cpe:/a:redhat:enterprise_linux:eap7-resteasy-jsapi, cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-java-jdk11, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-core, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar-common-api, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-transaction-client, p-cpe:/a:redhat:enterprise_linux:eap7-resteasy-json-p-provider, p-cpe:/a:redhat:enterprise_linux:eap7-glassfish-jsf, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar-core-api, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-naming-client, p-cpe:/a:redhat:enterprise_linux:eap7-resteasy-jose-jwt, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar-core-impl, p-cpe:/a:redhat:enterprise_linux:eap7-protostream, p-cpe:/a:redhat:enterprise_linux:eap7-resteasy-yaml-provider, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar-deployers-common, p-cpe:/a:redhat:enterprise_linux:eap7-hibernate-entitymanager, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-elytron, p-cpe:/a:redhat:enterprise_linux:eap7-hibernate-envers, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-cli, p-cpe:/a:redhat:enterprise_linux:eap7-resteasy-jaxrs, p-cpe:/a:redhat:enterprise_linux:eap7-resteasy-json-binding-provider, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar-jdbc, p-cpe:/a:redhat:enterprise_linux:eap7-ironjacamar-common-spi, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-javadocs, p-cpe:/a:redhat:enterprise_linux:eap7-hibernate, p-cpe:/a:redhat:enterprise_linux:eap7-xml-security, p-cpe:/a:redhat:enterprise_linux:eap7-resteasy-crypto, p-cpe:/a:redhat:enterprise_linux:eap7-insights-java-client, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-msc
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2024/2/7
脆弱性公開日: 2023/9/12
参照情報
CVE: CVE-2023-44483, CVE-2023-4759