RHEL 4:JBoss EAP(RHSA-2008:0831)
medium Nessus プラグイン ID 63864
Language:
概要
リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。説明
多様なセキュリティ問題が修正される更新済みの JBoss Enterprise Application Platform(JBEAP)4.3 パッケージが、JBEAP 4.3.0 CP02 として Red Hat Enterprise Linux 4 で現在利用可能です。この更新は、Red Hat セキュリティレスポンスチームによりセキュリティインパクトが小さいと評価されています。
JBoss Enterprise Application Platform は、革新的かつスケーラブルな Java アプリケーション用の市場をリードするプラットフォームです。 JBoss Hibernate および JBoss Seam と JBoss Application Server を完全かつシンプルなエンタープライズソリューションに統合しています。
Red Hat Enterprise Linux 4 の JBEAP のリリースは、 JBEAP 4.3.0.CP01 への置き換えとして機能します。
これらの更新パッケージには、リリースノートで詳細に説明されているバグ修正プログラムや拡張機能が含まれています。リリースノートへのリンクはリファレンスセクションの下にあります。
このリリースでは、次のセキュリティ問題も修正されます:
JULI ロギングコンポーネントのデフォルトのセキュリティポリシーで、ファイルへのアクセス権が制限されていませんでした。信頼できない Web アプリケーションがこれを悪用して tomcat プロセスのコンテキスト内の任意のファイルにアクセスし、当該のファイルに書き込みを行う可能性があります。(CVE-2007-5342)
サーバークラスのダウンロードをコントロールするプロパティは、「prodcution」構成で「true」に設定されています。クラスダウンロードサービスが外部インターフェイスにバインドされている場合、リモートの攻撃者はサーバークラスのパスから任意のクラスファイルをダウンロードできます。
(CVE-2008-3519)
警告:この更新を適用する前に、JBEAP 「server/[configuration]/deploy」ディレクトリ、その他カスタマイズ済みの構成ファイルのバックアップを行ってください。
Red Hat Enterprise Linux 4 上で JBEAP 4.3 の全ユーザーは、これらの更新済みパッケージへアップグレードし、これらの問題を解決することが推奨されます。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://access.redhat.com/security/cve/cve-2007-5342
https://access.redhat.com/security/cve/cve-2008-3519
プラグインの詳細
深刻度: Medium
ID: 63864
ファイル名: redhat-RHSA-2008-0831.nasl
バージョン: 1.14
タイプ: local
エージェント: unix
公開日: 2013/1/24
更新日: 2021/1/14
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.2
CVSS v2
リスクファクター: Medium
基本値: 6.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:glassfish-jaf, p-cpe:/a:redhat:enterprise_linux:glassfish-javamail, p-cpe:/a:redhat:enterprise_linux:glassfish-jaxb, p-cpe:/a:redhat:enterprise_linux:glassfish-jaxb-javadoc, p-cpe:/a:redhat:enterprise_linux:glassfish-jaxws, p-cpe:/a:redhat:enterprise_linux:glassfish-jaxws-javadoc, p-cpe:/a:redhat:enterprise_linux:glassfish-jstl, p-cpe:/a:redhat:enterprise_linux:hibernate3, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-commons-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-validator, p-cpe:/a:redhat:enterprise_linux:jakarta-commons-beanutils, p-cpe:/a:redhat:enterprise_linux:javassist, p-cpe:/a:redhat:enterprise_linux:jboss-aop, p-cpe:/a:redhat:enterprise_linux:jboss-jaxr, p-cpe:/a:redhat:enterprise_linux:jboss-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-seam, p-cpe:/a:redhat:enterprise_linux:jboss-seam-docs, p-cpe:/a:redhat:enterprise_linux:jbossas, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jbossws, p-cpe:/a:redhat:enterprise_linux:jbossws-common, p-cpe:/a:redhat:enterprise_linux:jbossws-framework, p-cpe:/a:redhat:enterprise_linux:jbossxb, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs, cpe:/o:redhat:enterprise_linux:4
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
パッチ公開日: 2008/9/22
脆弱性公開日: 2007/12/27
参照情報
CVE: CVE-2007-5342, CVE-2008-3519