RHEL 4:JBoss EAP(RHSA-2010:0937)
high Nessus プラグイン ID 63961
Language:
概要
リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。説明
3 つのセキュリティ問題と複数のバグが修正される更新済みの JBoss Enterprise Application Platform(JBEAP)4.3 パッケージが、JBEAP 4.3.0 CP09 として Red Hat Enterprise Linux 4 で現在利用可能です。Red Hat セキュリティレスポンスチームは、この更新には重大なセキュリティ上の影響があると評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。
JBoss Enterprise Application Platform は、革新的かつスケーラブルな Java アプリケーション用の市場をリードするプラットフォームです。 JBoss Hibernate および JBoss Seam と JBoss Application Server を完全かつシンプルなエンタープライズソリューションに統合しています。
Red Hat Enterprise Linux 4 の JBEAP のリリースは、 JBEAP 4.3.0.CP08 への置き換えとして機能します。
これらの更新パッケージには、リリースノートで詳細に説明されている、複数のバグ修正プログラムが含まれています。リリースノートは間もなく、Reference セクションのリンクからアクセスできるようになります。
このリリースでは、次のセキュリティ問題も修正されます:
JBoss Drools が特定のルールベースのシリアル化を実装する方法に、入力サニタイズの欠陥が見つかりました。リモートの攻撃者がシリアル化された入力を承認する JBoss Seam ベースのアプリケーションに、特別に細工された入力を送り込むと、JBoss サーバープロセスの権限で任意のコードが実行されることがあります。
(CVE-2010-3708)
JMX Console に、クロスサイトリクエスト偽造(CSRF)の欠陥が見つかりました。
リモートの攻撃者は管理者ユーザーとして JMX コンソールにログインしているユーザーを騙して、特別に細工された Web ページにアクセスさせることができれば、この欠陥を利用して、ターゲットのサーバーで任意の WAR ファイルを展開できます。(CVE-2010-3878)
JBoss Remoting コンポーネントに、欠陥が見つかりました。リモートの攻撃者は特別に細工された入力を使用して、JBoss Remoting リスナーの応答を停止させることができ、JBoss Remoting ソケットからのサービス通信に対してサービス拒否状態に導くことが可能です。
(CVE-2010-3862)
Red Hat は、CVE-2010-3862 の問題を報告してくれた、 eXerp.com の Ole Husgaard 氏に感謝の意を表します。
警告:この更新を適用する前に、JBEAP 「server/[configuration]/deploy」ディレクトリ、その他カスタマイズ済みの構成ファイルのバックアップを行ってください。
Red Hat Enterprise Linux 4 上の JBEAP 4.3 の全ユーザーは、これらの更新済みパッケージへアップグレードすることが推奨されます。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://access.redhat.com/security/cve/cve-2010-3708
https://access.redhat.com/security/cve/cve-2010-3862
https://access.redhat.com/security/cve/cve-2010-3878
プラグインの詳細
深刻度: High
ID: 63961
ファイル名: redhat-RHSA-2010-0937.nasl
バージョン: 1.25
タイプ: local
エージェント: unix
公開日: 2013/1/24
更新日: 2021/1/14
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 7.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:glassfish-jaxb, p-cpe:/a:redhat:enterprise_linux:glassfish-jaxws, p-cpe:/a:redhat:enterprise_linux:hibernate3, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations, p-cpe:/a:redhat:enterprise_linux:hibernate3-annotations-javadoc, p-cpe:/a:redhat:enterprise_linux:hibernate3-javadoc, p-cpe:/a:redhat:enterprise_linux:javassist, p-cpe:/a:redhat:enterprise_linux:jboss-common, p-cpe:/a:redhat:enterprise_linux:jboss-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-seam, p-cpe:/a:redhat:enterprise_linux:jboss-seam-docs, p-cpe:/a:redhat:enterprise_linux:jboss-seam2, p-cpe:/a:redhat:enterprise_linux:jboss-seam2-docs, p-cpe:/a:redhat:enterprise_linux:jbossas, p-cpe:/a:redhat:enterprise_linux:jbossas-4.3.0.ga_cp09-bin, p-cpe:/a:redhat:enterprise_linux:jbossas-client, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jbossws, p-cpe:/a:redhat:enterprise_linux:jbossws-common, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs, p-cpe:/a:redhat:enterprise_linux:rh-eap-docs-examples, p-cpe:/a:redhat:enterprise_linux:xalan-j2, cpe:/o:redhat:enterprise_linux:4
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
パッチ公開日: 2010/12/1
脆弱性公開日: 2010/12/30
参照情報
CVE: CVE-2010-3708, CVE-2010-3862, CVE-2010-3878
RHSA: 2010:0937