RHEL 8 : Red Hat JBoss Enterprise Application Platform 8.0.7 (RHSA-2025:3989)
medium Nessus プラグイン ID 234657
Language:
概要
リモート Red Hat ホストに 1 つ以上の Red Hat JBoss Enterprise Application Platform 8.0.7 のセキュリティ更新がありません。説明
リモートRedhat Enterprise Linux 8ホストに、RHSA-2025:3989アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。Red Hat JBoss Enterprise Application Platform 8 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 8.0.7 のこのリリースは、Red Hat JBoss Enterprise Application Platform 8.0.6 に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 8.0.7 リリースノート』を参照してください。
セキュリティ修正プログラム:
* org.wildfly/wildfly-elytron-oidc-client-subsystem:OIDC 認証コードのインジェクション(CVE-2024-12369)
* org.wildfly.core/wildfly-server: Wildfly の不適切な RBAC 権限 (CVE-2025-23367)
影響、CVSSスコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。
Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
RHEL Red Hat JBoss Enterprise Application Platform 8.0.7パッケージを、RHSA-2025:3989 のガイダンスに従って更新してください。参考資料
https://issues.redhat.com/browse/JBEAP-29232
https://issues.redhat.com/browse/JBEAP-29439
https://issues.redhat.com/browse/JBEAP-29445
https://issues.redhat.com/browse/JBEAP-29483
https://issues.redhat.com/browse/JBEAP-29555
http://www.nessus.org/u?055f5cee
https://access.redhat.com/errata/RHSA-2025:3989
https://access.redhat.com/security/updates/classification/#moderate
http://www.nessus.org/u?451267bf
https://access.redhat.com/articles/7114917
https://bugzilla.redhat.com/show_bug.cgi?id=2331178
https://bugzilla.redhat.com/show_bug.cgi?id=2337620
https://issues.redhat.com/browse/JBEAP-28382
https://issues.redhat.com/browse/JBEAP-28663
https://issues.redhat.com/browse/JBEAP-28842
https://issues.redhat.com/browse/JBEAP-28846
https://issues.redhat.com/browse/JBEAP-28847
https://issues.redhat.com/browse/JBEAP-28900
https://issues.redhat.com/browse/JBEAP-28902
プラグインの詳細
深刻度: Medium
ID: 234657
ファイル名: redhat-RHSA-2025-3989.nasl
バージョン: 1.2
タイプ: local
エージェント: unix
公開日: 2025/4/21
更新日: 2025/6/5
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
Vendor
Vendor Severity: Moderate
CVSS v2
リスクファクター: Medium
基本値: 4
現状値: 3
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:N
CVSS スコアのソース: CVE-2024-12369
CVSS v3
リスクファクター: Medium
基本値: 4.2
現状値: 3.7
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:eap8-wildfly, p-cpe:/a:redhat:enterprise_linux:eap8-ironjacamar-validator, p-cpe:/a:redhat:enterprise_linux:eap8-ironjacamar-common-api, p-cpe:/a:redhat:enterprise_linux:eap8-weld-jta, p-cpe:/a:redhat:enterprise_linux:eap8-hibernate-envers, p-cpe:/a:redhat:enterprise_linux:eap8-ironjacamar-deployers-common, p-cpe:/a:redhat:enterprise_linux:eap8-eap-product-conf-parent, p-cpe:/a:redhat:enterprise_linux:eap8-ironjacamar-jdbc, p-cpe:/a:redhat:enterprise_linux:eap8-wildfly-java-jdk11, p-cpe:/a:redhat:enterprise_linux:eap8-ironjacamar-common-spi, p-cpe:/a:redhat:enterprise_linux:eap8-wildfly-modules, p-cpe:/a:redhat:enterprise_linux:eap8-ironjacamar-core-impl, p-cpe:/a:redhat:enterprise_linux:eap8-reactive-streams, p-cpe:/a:redhat:enterprise_linux:eap8-wildfly-elytron, p-cpe:/a:redhat:enterprise_linux:eap8-eap-product-conf-wildfly-ee-feature-pack, cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:redhat:enterprise_linux:eap8-weld-web, p-cpe:/a:redhat:enterprise_linux:eap8-weld-core-jsf, p-cpe:/a:redhat:enterprise_linux:eap8-bouncycastle-pg, p-cpe:/a:redhat:enterprise_linux:eap8-weld-core-impl, p-cpe:/a:redhat:enterprise_linux:eap8-weld-lite-extension-translator, p-cpe:/a:redhat:enterprise_linux:eap8-bouncycastle, p-cpe:/a:redhat:enterprise_linux:eap8-wildfly-java-jdk21, p-cpe:/a:redhat:enterprise_linux:eap8-jakarta-enterprise-concurrent, p-cpe:/a:redhat:enterprise_linux:eap8-weld-core, p-cpe:/a:redhat:enterprise_linux:eap8-ironjacamar-common-impl, p-cpe:/a:redhat:enterprise_linux:eap8-bouncycastle-pkix, p-cpe:/a:redhat:enterprise_linux:eap8-ironjacamar-core-api, p-cpe:/a:redhat:enterprise_linux:eap8-reactivex-rxjava, p-cpe:/a:redhat:enterprise_linux:eap8-hibernate-core, p-cpe:/a:redhat:enterprise_linux:eap8-bouncycastle-jmail, p-cpe:/a:redhat:enterprise_linux:eap8-bouncycastle-util, p-cpe:/a:redhat:enterprise_linux:eap8-ironjacamar, p-cpe:/a:redhat:enterprise_linux:eap8-jsf-impl, p-cpe:/a:redhat:enterprise_linux:eap8-wildfly-elytron-tool, p-cpe:/a:redhat:enterprise_linux:eap8-weld-ejb, p-cpe:/a:redhat:enterprise_linux:eap8-apache-commons-io, p-cpe:/a:redhat:enterprise_linux:eap8-wildfly-java-jdk17, p-cpe:/a:redhat:enterprise_linux:eap8-hibernate, p-cpe:/a:redhat:enterprise_linux:eap8-bouncycastle-prov
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2025/4/17
脆弱性公開日: 2024/12/9
参照情報
CVE: CVE-2024-12369, CVE-2025-23367