検出

RHEL 5:JBoss EAP(RHSA-2008:0827)

medium Nessus プラグイン ID 63862

Language:

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

複数のセキュリティ問題が修正される更新済みの JBoss Enterprise Application Platform(JBoss EAP)パッケージが、 Red Hat Enterprise Linux 5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新は重要度中のセキュリティ影響があると評価しています。

JBoss EAP は、Java 2 Platform、Enterprise Edition(J2EE)アプリケーション用のミドルウェアプラットフォームです。JBoss Seam は、Asynchronous JavaScript and XML(AJAX)、 JavaServer Faces(JSF)、Java Persistence(JPA)、 Enterprise Java Beans(EJB 3.0)、および Business Process Management(BPM)テクノロジーをともに使用して Java Internet アプリケーションを構築するためのフレームワークです。

Red Hat Enterprise Linux 5 用この JBoss EAP リリースには、 JBoss Application Server および JBoss Seam が含まれています。このリリースは、JBoss EAP 4.2.0.GA の代わりとして機能し、以下のセキュリティ問題を修正します:

これらの更新済み JBoss Enterprise Apllication Platform(JBoss EAP)パッケージは、以下のセキュリティ問題を解決します。

JavaServer Faces(JSF)コンポーネントは、複数のクロスサイトスクリプティング(XSS)の脆弱性に対して脆弱でした。攻撃者はこれらの欠陥を利用して任意の Web スクリプトまたは HTML を注入できます。(CVE-2008-1285)

認証されていないユーザーは、ステータスサーブレットにアクセスすることができました。これにより、リモートの攻撃者は展開された Web コンテキストについての詳細情報を取得できるようになります。(CVE-2008-3273)

これらの更新済みのパッケージには、ここでは一覧されているセキュリティ修正に加え、バグ修正や拡張機能が含まれています。完全なリストについては、このアドバイザリの「リファレンス」セクションでリンクされている、 JBoss EAP 4.2.0 CP03 リリースノートを参照してください。

警告:この更新を適用する前に、JBoss EAP「server/<configuration>/deploy」ディレクトリ、その他カスタマイズ済みの構成ファイルのバックアップを行ってください。

JBoss Enterprise Application Platform(JBoss EAP)のユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正する必要があります。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/security/cve/cve-2008-1285

https://access.redhat.com/security/cve/cve-2008-3273

http://www.nessus.org/u?13c46bfa

https://access.redhat.com/errata/RHSA-2008:0827

プラグインの詳細

深刻度: Medium

ID: 63862

ファイル名: redhat-RHSA-2008-0827.nasl

バージョン: 1.18

タイプ: local

エージェント: unix

公開日: 2013/1/24

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.0

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:asm, p-cpe:/a:redhat:enterprise_linux:cglib, p-cpe:/a:redhat:enterprise_linux:glassfish-jaf, p-cpe:/a:redhat:enterprise_linux:glassfish-javamail, p-cpe:/a:redhat:enterprise_linux:glassfish-jsf, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-javadoc, p-cpe:/a:redhat:enterprise_linux:jboss-cache, p-cpe:/a:redhat:enterprise_linux:jboss-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-seam, p-cpe:/a:redhat:enterprise_linux:jboss-seam-docs, p-cpe:/a:redhat:enterprise_linux:jbossas, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jbossws-jboss42, p-cpe:/a:redhat:enterprise_linux:jcommon, p-cpe:/a:redhat:enterprise_linux:jfreechart, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs-examples, cpe:/o:redhat:enterprise_linux:5

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2008/8/5

脆弱性公開日: 2008/3/11

参照情報

CVE: CVE-2008-1285, CVE-2008-3273

BID: 30540

CWE: 264, 79

RHSA: 2008:0827