RHEL 4:JBoss EAP(RHSA-2009:1637)
medium Nessus プラグイン ID 63904
Language:
概要
リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。説明
複数のセキュリティ問題と複数のバグが修正される拡張機能が追加された更新済みの JBoss Enterprise Application Platform(JBEAP 4.2)パッケージが、JBEAP 4.2.0.CP08 として Red Hat Enterprise Linux 4 で現在利用可能です。Red Hat セキュリティレスポンスチームは、この更新は重要度中のセキュリティ影響があると評価しています。
JBoss Enterprise Application Platform は、革新的かつスケーラブルな Java アプリケーション用の市場をリードするプラットフォームです。 JBoss Hibernate および JBoss Seam と JBoss Application Server を完全かつシンプルなエンタープライズソリューションに統合しています。
Red Hat Enterprise Linux 4 の JBEAP のリリースは、 JBEAP 4.2.0.CP07 への置き換えとして機能します。
これらの更新パッケージには、リリースノートで詳細に説明されているバグ修正と拡張機能が含まれています。また、間もなく次の URL からアクセスできるようになります。
http://www.redhat.com/docs/en-US/JBoss_Enterprise_Application_Platform/
このリリースでは、次のセキュリティ問題も修正されます:
xml-security に、HMAC ベースの XML 署名の切り捨て形式の推奨最短長の確認の欠如が見つかりました。攻撃者が、この欠陥を利用して、XML 署名を偽造する特別に細工された XML ファイルを作成することが可能です。これにより、攻撃者が XML 署名仕様に基づく認証をバイパスすることが可能です。
(CVE-2009-0217)
Swatej Kumar 氏は、JBoss Application Server Web Console に、クロスサイトスクリプティング(XSS)の欠陥を発見しました。攻撃者はこれらの欠陥を利用して認証されていないユーザーへ誤解を招く情報を表示するができます。または、認証されていないユーザーのブラウザセッションのコンテキストで任意のスクリプティングコードを実行させることができます。(CVE-2009-2405)
Apache Xerces2 Java Parser が DTD のシステム識別子を処理したやり方で欠陥が見つかりました。リモートの攻撃者は、Apache Xerces2 Java パーサーを使用するプリケーションによって解析されるとサービス拒否(過度な CPU の使用によるアプリケーションのハングアップ)につながる可能性のある、特別に細工された XML ファイルを送りつけることがあります。(CVE-2009-2625)
twiddle コマンドラインクライアントに情報漏洩の欠陥が見つかりました。
JMX パスワードは、「twiddle.log」に対してプレーンテキストで保存されていました。
(CVE-2009-3554)
JMX Console に、XSS の欠陥が見つかりました。攻撃者はこの欠陥を利用して認証されていないユーザーへ誤解を招く情報を表示するができます。または、認証されていないユーザーのブラウザセッションのコンテキストで任意のスクリプティングコードを実行させることができます。(CVE-2009-1380)
警告:この更新を適用する前に、JBEAP 「server/[configuration]/deploy」ディレクトリ、その他カスタマイズ済みの構成ファイルのバックアップを行ってください。
Red Hat Enterprise Linux 4 上の JBEAP 4.2 の全ユーザーは、これらの更新済みパッケージへアップグレードすることが推奨されます。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://access.redhat.com/security/cve/cve-2009-0217
https://access.redhat.com/security/cve/cve-2009-1380
https://access.redhat.com/security/cve/cve-2009-2405
https://access.redhat.com/security/cve/cve-2009-2625
https://access.redhat.com/security/cve/cve-2009-3554
プラグインの詳細
深刻度: Medium
ID: 63904
ファイル名: redhat-RHSA-2009-1637.nasl
バージョン: 1.17
タイプ: local
エージェント: unix
公開日: 2013/1/24
更新日: 2021/1/14
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.0
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jfreechart, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs-examples, p-cpe:/a:redhat:enterprise_linux:jboss-remoting, p-cpe:/a:redhat:enterprise_linux:xml-security, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:hibernate3, p-cpe:/a:redhat:enterprise_linux:hibernate3-javadoc, p-cpe:/a:redhat:enterprise_linux:jboss-aop, p-cpe:/a:redhat:enterprise_linux:jboss-common, p-cpe:/a:redhat:enterprise_linux:jbossas, p-cpe:/a:redhat:enterprise_linux:jbossas-4.2.0.ga_cp08-bin, p-cpe:/a:redhat:enterprise_linux:jboss-seam, p-cpe:/a:redhat:enterprise_linux:glassfish-jsf, p-cpe:/a:redhat:enterprise_linux:quartz, p-cpe:/a:redhat:enterprise_linux:jcommon, p-cpe:/a:redhat:enterprise_linux:jboss-seam-docs, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager, p-cpe:/a:redhat:enterprise_linux:xerces-j2, p-cpe:/a:redhat:enterprise_linux:jakarta-commons-logging-jboss, p-cpe:/a:redhat:enterprise_linux:jacorb, p-cpe:/a:redhat:enterprise_linux:jbossas-client, cpe:/o:redhat:enterprise_linux:4, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:hibernate3-entitymanager-javadoc, p-cpe:/a:redhat:enterprise_linux:glassfish-javamail
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2009/12/9
脆弱性公開日: 2009/7/14
参照情報
CVE: CVE-2009-0217, CVE-2009-1380, CVE-2009-2405, CVE-2009-2625, CVE-2009-3554