RHEL 5:JBoss EAP(RHSA-2008:0213)

high Nessus プラグイン ID 63851

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

4.2.0.CP02 リリースを含む新しい JBoss Enterprise Application Platform(JBEAP)パッケージが、Red Hat Enterprise Linux 5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新は重要度中のセキュリティ影響があると評価しています。

JBEAP は、Java 2 Platform、Enterprise Edition(J2EE)アプリケーション用のミドルウェアプラットフォームです。

Red Hat Enterprise Linux 5 用のこの JBEAP リリースには、JBEAP 4.2.0.GA_CP01 の代替えとして、JBoss Application Server および JBoss Seam が含まれています。これらの更新済みパッケージは、多数のバグを修正し、拡張機能を追加するだけでなく、いくつかのセキュリティ問題にも対処しています。

JFreeChart コンポーネントは、複数のクロスサイトスクリプティング(XSS)の脆弱性に対して脆弱でした。攻撃者が画像マップ機能を悪用し、チャートエリアのいくつかの属性を介して、任意の Web スクリプトまたは HTML を注入する可能性があります。(CVE-2007-6306)

静的 java メソッドを漏洩することにより生じる脆弱性が、HSQLDB コンポーネントにあります。これが攻撃者に利用されて、任意の静的 java メソッドが実行される可能性があります。(CVE-2007-4575)

org.jboss.seam.framework.Query クラスの setOrder メソッドが、ユーザー指定のパラメーターを適切に検証していませんでした。この脆弱性により、リモートの攻撃者がオーダーのパラメーターを介して、任意の EJBQL コマンドを注入し、実行することが可能です。(CVE-2007-6433)

この更新に含まれるバグ修正と拡張機能の詳細については、以下の「参照」セクションにリンクがある JBoss Enterprise Application Platform 4.2.0.CP02 のリリースノートを参照してください。

JBoss Enterprise Application Platform の使用を希望する Red Hat Enterprise Linux 5 の全ユーザーは、これらの新しいパッケージをインストールすることが推奨されます。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/security/cve/cve-2007-4575

https://access.redhat.com/security/cve/cve-2007-5461

https://access.redhat.com/security/cve/cve-2007-6306

https://access.redhat.com/security/cve/cve-2007-6433

https://access.redhat.com/security/cve/cve-2008-0002

https://access.redhat.com/documentation/en-us/

https://access.redhat.com/errata/RHSA-2008:0213

プラグインの詳細

深刻度: High

ID: 63851

ファイル名: redhat-RHSA-2008-0213.nasl

バージョン: 1.17

タイプ: local

エージェント: unix

公開日: 2013/1/24

更新日: 2021/1/14

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: High

Base Score: 9.3

Temporal Score: 7.7

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:concurrent, p-cpe:/a:redhat:enterprise_linux:glassfish-jaf, p-cpe:/a:redhat:enterprise_linux:glassfish-javamail, p-cpe:/a:redhat:enterprise_linux:glassfish-jsf, p-cpe:/a:redhat:enterprise_linux:glassfish-jstl, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-javadoc, p-cpe:/a:redhat:enterprise_linux:jacorb, p-cpe:/a:redhat:enterprise_linux:jboss-aop, p-cpe:/a:redhat:enterprise_linux:jboss-cache, p-cpe:/a:redhat:enterprise_linux:jboss-common, p-cpe:/a:redhat:enterprise_linux:jboss-jbpm-bpel, p-cpe:/a:redhat:enterprise_linux:jboss-jbpm-jpdl, p-cpe:/a:redhat:enterprise_linux:jboss-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-seam, p-cpe:/a:redhat:enterprise_linux:jboss-seam-docs, p-cpe:/a:redhat:enterprise_linux:jbossas, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jbossws-jboss42, p-cpe:/a:redhat:enterprise_linux:jbossws-wsconsume-impl, p-cpe:/a:redhat:enterprise_linux:jbossxb, p-cpe:/a:redhat:enterprise_linux:jcommon, p-cpe:/a:redhat:enterprise_linux:jfreechart, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:juddi, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs-examples, p-cpe:/a:redhat:enterprise_linux:ws-commons-policy, cpe:/o:redhat:enterprise_linux:5

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2008/4/2

脆弱性公開日: 2007/10/15

エクスプロイト可能

CANVAS (CANVAS)

参照情報

CVE: CVE-2007-4575, CVE-2007-5461, CVE-2007-6306, CVE-2007-6433, CVE-2008-0002

BID: 26703, 26752

CWE: 20, 22, 79, 94

RHSA: 2008:0213