RHEL 4 / 5 / 6:jbossweb(RHSA-2012:0074)

medium Nessus プラグイン ID 64022

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

複数のセキュリティ問題を修正する更新済みの jbossweb パッケージが、Red Hat Enterprise Linux 4、5 および 6 用の JBoss Enterprise Application Platform 5.1.2 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新には重大なセキュリティ上の影響があると評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

JBoss Web は、JBoss Enterprise Application Platform における、 Apache Tomcat に基づいた Web コンテナです。JavaServer Pages(JSP)および Java サーブレットテクノロジーのための単一展開プラットフォームを提供します。

JBoss Web が UTF-8 サロゲートペアの文字を処理する方法で、欠陥が見つかりました。JBoss Web が、UTF-8 文字エンコーディングが有効化されたアプリケーションをホストしていた場合、または応答においてユーザー指定の UTF-8 文字列が含まれている場合、リモートの攻撃者がこの欠陥を利用して、JBoss Web サーバーでサービス拒否(無限ループ)を引き起こす可能性があります。
(CVE-2011-4610)

Java hashCode() メソッドの実装は、予測可能なハッシュ競合の影響を受けやすいことがわかりました。リモートの攻撃者がこの欠陥を利用して、名前をマップすると同じハッシュ値になるパラメーターが多数ある HTTP リクエストを送信することで、JBoss Web に CPU 時間を過剰に使用させる可能性があります。この問題を緩和するために、この更新では、リクエストごとに処理するパラメーターとヘッダーの数に制限を設けています。デフォルトでは、パラメーターに対して 512、ヘッダーに対して 128 を制限値に設定しています。これらのデフォルトは、「jboss-as/server/[PROFILE]/deploy/properties-service.xml」の org.apache.tomcat.util.http.Parameters.MAX_COUNT および org.apache.tomcat.util.http.MimeHeaders.MAX_COUNT システムプロパティを設定することで変更できます。
(CVE-2011-4858)

JBoss Web は、多数のパラメーターや大きなパラメーター値を効率的に処理しないことが判明しました。リモートの攻撃者が、多数のパラメーターや大きなパラメーター値を含む HTTP リクエストを送信することで、JBoss Web サーバーに CPU 時間を過剰に使わせる可能性があります。この問題に対処するために、この更新では、リクエストごとに処理するパラメーターとヘッダーの数に制限を設けています。
org.apache.tomcat.util.http.Parameters.MAX_COUNT および org.apache.tomcat.util.http.MimeHeaders.MAX_COUNT のシステムプロパティの詳細については、CVE-2011-4858 の説明を参照してください。
(CVE-2012-0022)

JBoss Web が HTTP DIGEST 認証を処理する方法で、複数の欠陥が見つかりました。この欠陥は JBoss Web HTTP DIGEST 認証実装を弱体化し、リモートの攻撃者によるセッションリプレイ攻撃を可能にするなど、いくつかの HTTP BASIC 認証の弱点に陥りやすくします。(CVE-2011-1184、CVE-2011-5062、CVE-2011-5063、 CVE-2011-5064)

HTTP APR(Apache Portable Runtime)コネクタまたは NIO(Non-Blocking I/O)コネクタを利用している場合に、JBoss Web が sendfile リクエスト属性を処理する方法で欠陥が見つかりました。JBoss Web インスタンス上で実行されている悪意ある Web アプリケーションがこの欠陥を利用することで、セキュリティマネージャーの制限をバイパスして、他の方法ではアクセスできなかったファイルへのアクセス権を取得したり、Java 仮想マシン(JVM)を終了させたりする可能性があります。
(CVE-2011-2526)

Red Hat は、CVE-2011-4610 を報告してくれた NTT OSSC、
CVE-2011-4858 を報告してくれた oCERT、CVE-2011-2526 を報告してくれた Apache Tomcat プロジェクトに感謝の意を表します。oCERT は、Julian Wälde 氏および Alexander Klink 氏を CVE-2011-4858 の最初の報告者として認めます。

警告:この更新を適用する前に、その他すべてのカスタマイズした構成ファイルとともに、 JBoss Enterprise Application Platform「jboss-as/server/[PROFILE]/deploy/」ディレクトリのバックアップを行ってください。

Red Hat Enterprise Linux 4、5、6 上の JBoss Enterprise Application Platform 5.1.2 のユーザーは、更新済みパッケージにアップグレードし、これらの問題を修正することが推奨されます。この更新を有効にするには、 JBoss サーバープロセスを再起動する必要があります。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2012:0074

https://access.redhat.com/security/cve/cve-2011-2526

https://access.redhat.com/security/cve/cve-2011-1184

https://access.redhat.com/security/cve/cve-2011-5062

https://access.redhat.com/security/cve/cve-2011-5063

https://access.redhat.com/security/cve/cve-2011-5064

https://access.redhat.com/security/cve/cve-2011-4858

https://access.redhat.com/security/cve/cve-2012-0022

https://access.redhat.com/security/cve/cve-2011-4610

プラグインの詳細

深刻度: Medium

ID: 64022

ファイル名: redhat-RHSA-2012-0074.nasl

バージョン: 1.27

タイプ: local

エージェント: unix

公開日: 2013/1/24

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.8

CVSS v2

リスクファクター: Medium

Base Score: 5

Temporal Score: 3.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jbossweb-el-1.0-api, p-cpe:/a:redhat:enterprise_linux:jbossweb-jsp-2.1-api, p-cpe:/a:redhat:enterprise_linux:jbossweb-lib, p-cpe:/a:redhat:enterprise_linux:jbossweb-servlet-2.5-api, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:6

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2012/1/31

脆弱性公開日: 2011/7/14

参照情報

CVE: CVE-2011-1184, CVE-2011-2526, CVE-2011-4610, CVE-2011-4858, CVE-2011-5062, CVE-2011-5063, CVE-2011-5064, CVE-2012-0022

RHSA: 2012:0074