検出

RHEL 4:JBoss EAP(RHSA-2009:1636)

medium Nessus プラグイン ID 63903

Language:

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

複数のセキュリティ問題と複数のバグが修正される拡張機能が追加された更新済みの JBoss Enterprise Application Platform(JBEAP 4.3)パッケージが、JBEAP 4.3.0 CP07 として Red Hat Enterprise Linux 4 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新は重要度中のセキュリティ影響があると評価しています。

JBoss Enterprise Application Platform は、革新的かつスケーラブルな Java アプリケーション用の市場をリードするプラットフォームです。 JBoss Hibernate および JBoss Seam と JBoss Application Server を完全かつシンプルなエンタープライズソリューションに統合しています。

Red Hat Enterprise Linux 4 の JBEAP のリリースは、 JBEAP 4.3.0.CP06 への置き換えとして機能します。

これらの更新パッケージには、リリースノートで詳細に説明されているバグ修正と拡張機能が含まれています。また、間もなく次の URL からアクセスできるようになります。
http://www.redhat.com/docs/en-US/JBoss_Enterprise_Application_Platform/

このリリースでは、次のセキュリティ問題も修正されます:

xml-security に、HMAC ベースの XML 署名の切り捨て形式の推奨最短長の確認の欠如が見つかりました。攻撃者が、この欠陥を利用して、XML 署名を偽造する特別に細工された XML ファイルを作成することが可能です。これにより、攻撃者が XML 署名仕様に基づく認証をバイパスすることが可能です。
(CVE-2009-0217)

Swatej Kumar 氏は、JBoss Application Server Web Console に、クロスサイトスクリプティング(XSS)の欠陥を発見しました。攻撃者はこれらの欠陥を利用して認証されていないユーザーへ誤解を招く情報を表示するができます。または、認証されていないユーザーのブラウザセッションのコンテキストで任意のスクリプティングコードを実行させることができます。(CVE-2009-2405)

Apache Xerces2 Java Parser が DTD のシステム識別子を処理したやり方で欠陥が見つかりました。リモートの攻撃者は、Apache Xerces2 Java パーサーを使用するプリケーションによって解析されるとサービス拒否(過度な CPU の使用によるアプリケーションのハングアップ)につながる可能性のある、特別に細工された XML ファイルを送りつけることがあります。(CVE-2009-2625)

twiddle コマンドラインクライアントに情報漏洩の欠陥が見つかりました。
JMX パスワードは、「twiddle.log」に対してプレーンテキストで保存されていました。
(CVE-2009-3554)

JMX Console に、XSS の欠陥が見つかりました。攻撃者はこの欠陥を利用して認証されていないユーザーへ誤解を招く情報を表示するができます。または、認証されていないユーザーのブラウザセッションのコンテキストで任意のスクリプティングコードを実行させることができます。(CVE-2009-1380)

警告:この更新を適用する前に、JBEAP 「server/[configuration]/deploy」ディレクトリ、その他カスタマイズ済みの構成ファイルのバックアップを行ってください。

Red Hat Enterprise Linux 4 上の JBEAP 4.3 の全ユーザーは、これらの更新済みパッケージへアップグレードすることが推奨されます。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/security/cve/cve-2009-0217

https://access.redhat.com/security/cve/cve-2009-1380

https://access.redhat.com/security/cve/cve-2009-2405

https://access.redhat.com/security/cve/cve-2009-2625

https://access.redhat.com/security/cve/cve-2009-3554

http://www.nessus.org/u?13c46bfa

https://access.redhat.com/errata/RHSA-2009:1636

プラグインの詳細

深刻度: Medium

ID: 63903

ファイル名: redhat-RHSA-2009-1636.nasl

バージョン: 1.19

タイプ: local

エージェント: unix

公開日: 2013/1/24

更新日: 2021/1/14

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.2

CVSS v2

リスクファクター: Medium

Base Score: 5

Temporal Score: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:glassfish-javamail, p-cpe:/a:redhat:enterprise_linux:glassfish-jaxb, p-cpe:/a:redhat:enterprise_linux:glassfish-jaxb-javadoc, p-cpe:/a:redhat:enterprise_linux:glassfish-jsf, p-cpe:/a:redhat:enterprise_linux:hibernate3, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-javadoc, p-cpe:/a:redhat:enterprise_linux:jacorb, p-cpe:/a:redhat:enterprise_linux:jakarta-commons-logging-jboss, p-cpe:/a:redhat:enterprise_linux:jboss-aop, p-cpe:/a:redhat:enterprise_linux:jboss-common, p-cpe:/a:redhat:enterprise_linux:jboss-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-seam, p-cpe:/a:redhat:enterprise_linux:jboss-seam-docs, p-cpe:/a:redhat:enterprise_linux:jboss-seam2, p-cpe:/a:redhat:enterprise_linux:jboss-seam2-docs, p-cpe:/a:redhat:enterprise_linux:jbossas, p-cpe:/a:redhat:enterprise_linux:jbossas-4.3.0.ga_cp07-bin, p-cpe:/a:redhat:enterprise_linux:jbossas-client, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jbossws, p-cpe:/a:redhat:enterprise_linux:jbossws-common, p-cpe:/a:redhat:enterprise_linux:jbossws-framework, p-cpe:/a:redhat:enterprise_linux:jbossws-native42, p-cpe:/a:redhat:enterprise_linux:jcommon, p-cpe:/a:redhat:enterprise_linux:jfreechart, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:quartz, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs-examples, p-cpe:/a:redhat:enterprise_linux:xerces-j2, p-cpe:/a:redhat:enterprise_linux:xml-security, cpe:/o:redhat:enterprise_linux:4

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2009/12/9

脆弱性公開日: 2009/7/14

参照情報

CVE: CVE-2009-0217, CVE-2009-1380, CVE-2009-2405, CVE-2009-2625, CVE-2009-3554

BID: 35671, 35958

CWE: 200, 264, 79

RHSA: 2009:1636