検出

RHEL 5:JBoss EAP(RHSA-2008:0828)

medium Nessus プラグイン ID 63863

Language:

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

複数のセキュリティ問題が修正される更新済みの JBoss Enterprise Application Platform(JBoss EAP)パッケージが、 Red Hat Enterprise Linux 5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新は重要度中のセキュリティ影響があると評価しています。

JBoss EAP は、Java 2 Platform、Enterprise Edition(J2EE)アプリケーション用のミドルウェアプラットフォームです。

Red Hat Enterprise Linux 5 用この JBoss EAP リリースには、 JBoss Application Server および JBoss Seam が含まれています。このリリースは、JBoss EAP 4.3.0.GA の代わりとして機能し、以下のセキュリティ問題を修正します:

JavaServer Faces(JSF)コンポーネントは、複数のクロスサイトスクリプティング(XSS)の脆弱性に対して脆弱でした。攻撃者はこれらの欠陥を利用して任意の Web スクリプトまたは HTML を注入できます。(CVE-2008-1285)

認証されていないユーザーは、ステータスサーブレットにアクセスすることができました。これにより、リモートの攻撃者は展開された Web コンテキストについての詳細情報を取得できるようになります。(CVE-2008-3273)

これらの更新済みパッケージには、ここでは一覧されていないバグ修正や拡張機能が含まれています。完全なリストについては、このアドバイザリの「リファレンス」セクションでリンクされている、JBoss EAP 4.3.0 CP01 リリースノートを参照してください。

警告:この更新を適用する前に、JBoss EAP 「server/[configuration]/deploy」ディレクトリ、その他カスタマイズ済みの構成ファイルのバックアップを行ってください。

Red Hat Enterprise Linux 5 上で JBoss EAP の全ユーザーは、これらの更新済みパッケージへアップグレードし、これらの問題を解決することが推奨されます。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/security/cve/cve-2008-1285

https://access.redhat.com/security/cve/cve-2008-3273

http://www.nessus.org/u?9bdf7206

https://access.redhat.com/errata/RHSA-2008:0828

プラグインの詳細

深刻度: Medium

ID: 63863

ファイル名: redhat-RHSA-2008-0828.nasl

バージョン: 1.18

タイプ: local

エージェント: unix

公開日: 2013/1/24

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.0

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:asm, p-cpe:/a:redhat:enterprise_linux:cglib, p-cpe:/a:redhat:enterprise_linux:concurrent, p-cpe:/a:redhat:enterprise_linux:glassfish-jaf, p-cpe:/a:redhat:enterprise_linux:glassfish-javamail, p-cpe:/a:redhat:enterprise_linux:glassfish-jsf, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-javadoc, p-cpe:/a:redhat:enterprise_linux:jboss-aop, p-cpe:/a:redhat:enterprise_linux:jboss-cache, p-cpe:/a:redhat:enterprise_linux:jboss-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-seam, p-cpe:/a:redhat:enterprise_linux:jboss-seam-docs, p-cpe:/a:redhat:enterprise_linux:jbossas, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jbossws, p-cpe:/a:redhat:enterprise_linux:jbossws-native42, p-cpe:/a:redhat:enterprise_linux:jbossxb, p-cpe:/a:redhat:enterprise_linux:jcommon, p-cpe:/a:redhat:enterprise_linux:jfreechart, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs, cpe:/o:redhat:enterprise_linux:5

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2008/8/5

脆弱性公開日: 2008/3/11

参照情報

CVE: CVE-2008-1285, CVE-2008-3273

BID: 30540

CWE: 264, 79

RHSA: 2008:0828