RHEL 5:JBoss EAP(RHSA-2013:1207)
medium Nessus プラグイン ID 69882
Language:
概要
リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。説明
複数のセキュリティ問題と様々なバグを修正し、拡張機能を追加する Red Hat JBoss Enterprise Application Platform 6.1.1 が、Red Hat Enterprise Linux 5 で現在使用可能です。Red Hat セキュリティレスポンスチームは、この更新のセキュリティ上の影響は中程度であると評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。
Red Hat JBoss Enterprise Application Platform 6 は、JBoss Application Server 7 をベースにした Java アプリケーション用のプラットフォームです。
このリリースは、Red Hat JBoss Enterprise Application Platform 6.1.0 を置き換え、バグ修正および拡張機能を提供します。
これらの変更の内、最も重要なものに関する情報については 6.1.1 リリースノートを参照してください。以下の URL で近日中に公開されます。https://access.redhat.com/site/documentation/
セキュリティ修正:
mod_info、mod_status、mod_imagemap、mod_ldap、mod_proxy_ftp モジュールに、クロスサイトスクリプティング(XSS)の欠陥が見つかりました。特別に細工されたホストヘッダーで、被害者のブラウザに HTTP リクエストを表示させることができた場合、攻撃者がこれらの欠陥を悪用して、XSS 攻撃を実行することが可能です。(CVE-2012-3499)
mod_proxy_balancer モジュールのマネージャ Web インターフェイスで、クロスサイトスクリプティング(XSS)の欠陥が見つかりました。リモートの攻撃者がユーザーを騙して、マネージャ Web インターフェイスにログインしているユーザーに特別に細工された URL にアクセスさせることができると、任意の Web スクリプトをユーザーのマネージャインターフェイスセッションのコンテキストで実行できました。
(CVE-2012-4558)
mod_dav モジュールがマージリクエストを処理する方法で、欠陥が見つかりました。
攻撃者がこの欠陥を利用して、DAV に対して構成されていない URI が含まれる細工された MERGE リクエストを送信し、 httpd 子プロセスをクラッシュさせる可能性があります。(CVE-2013-1896)
Apache Santuario XML Security for Java が XML 署名を検証する方法に欠陥が見つかりました。Santuario では、署名が任意の正規化アルゴリズムを指定することができ、それが SignedInfo XML フラグメントに適用されます。リモートの攻撃者がこれを悪用して、特別に細工された XML 署名ブロックを介して XML 署名を偽装する可能性があります。
(CVE-2013-2172)
mod_rewrite がログファイルからのターミナルエスケープシーケンスをフィルター処理しなかったことが見つかりました。mod_rewrite が RewriteLog ディレクティブで構成された場合、リモートの攻撃者が特別に細工された HTTP リクエストを使用して、ターミナルエスケープシーケンスを mod_rewrite ログファイルに注入することが可能です。被害者がログファイルをターミナルエミュレーターで表示すると、そのユーザーの権限で任意のコードが実行される可能性があります。
(CVE-2013-1862)
暗号化されたパスワードを保存するために PicketBox Vault が使用するデータファイルに、それ自体の管理者キーのコピーが含まれています。このファイルは、対応する JKS キーではなく、この管理者キーのみを使用して暗号化されます。Vault データファイルを読み取る権限のあるローカルの攻撃者が、当該のファイルから管理者キーを読み取り、そのキーを使用してファイルを復号化し、平文で保管されているパスワードを読み取る可能性があります。(CVE-2013-1921)
JGroup の DiagnosticsHandler に欠陥が発見され、隣接するネットワーク上の攻撃者が、以前の成功した認証の認証情報を再利用することが可能です。診断情報(情報漏洩)を読み取ったり、制限されたリモートコードの実行を引き起こしたりするために、これが悪用される可能性があります。(CVE-2013-4112)
警告:この更新を適用する前に、既存の Red Hat JBoss Enterprise Application Platform のインストール内容および展開済みアプリケーションをバックアップしてください。詳細についは、ソリューションセクションを参照してください。
Red Hat Enterprise Linux 5 上の Red Hat JBoss Enterprise Application Platform 6.1.0 の全ユーザーは、これらの更新済みのパッケージへアップグレードすることが推奨されます。この更新を有効にするには、 JBoss サーバープロセスを再起動する必要があります。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://www.redhat.com/security/data/cve/CVE-2012-3499.html
https://www.redhat.com/security/data/cve/CVE-2012-4558.html
https://www.redhat.com/security/data/cve/CVE-2013-1862.html
https://www.redhat.com/security/data/cve/CVE-2013-1896.html
https://www.redhat.com/security/data/cve/CVE-2013-1921.html
https://www.redhat.com/security/data/cve/CVE-2013-2172.html
https://www.redhat.com/security/data/cve/CVE-2013-4112.html
プラグインの詳細
深刻度: Medium
ID: 69882
ファイル名: redhat-RHSA-2013-1207.nasl
バージョン: 1.10
タイプ: local
エージェント: unix
公開日: 2013/9/13
更新日: 2021/1/14
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 5.1
現状値: 3.8
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:apache-commons-beanutils, p-cpe:/a:redhat:enterprise_linux:apache-commons-daemon-jsvc-eap6, p-cpe:/a:redhat:enterprise_linux:apache-cxf, p-cpe:/a:redhat:enterprise_linux:apache-cxf-xjc-utils, p-cpe:/a:redhat:enterprise_linux:cxf-xjc-boolean, p-cpe:/a:redhat:enterprise_linux:cxf-xjc-dv, p-cpe:/a:redhat:enterprise_linux:cxf-xjc-ts, p-cpe:/a:redhat:enterprise_linux:hibernate4, p-cpe:/a:redhat:enterprise_linux:hibernate4-core, p-cpe:/a:redhat:enterprise_linux:hibernate4-entitymanager, p-cpe:/a:redhat:enterprise_linux:hibernate4-envers, p-cpe:/a:redhat:enterprise_linux:hibernate4-infinispan, p-cpe:/a:redhat:enterprise_linux:hornetq, p-cpe:/a:redhat:enterprise_linux:hornetq-native, p-cpe:/a:redhat:enterprise_linux:httpd, p-cpe:/a:redhat:enterprise_linux:httpd-devel, p-cpe:/a:redhat:enterprise_linux:httpd-tools, p-cpe:/a:redhat:enterprise_linux:infinispan, p-cpe:/a:redhat:enterprise_linux:infinispan-cachestore-jdbc, p-cpe:/a:redhat:enterprise_linux:infinispan-cachestore-remote, p-cpe:/a:redhat:enterprise_linux:infinispan-client-hotrod, p-cpe:/a:redhat:enterprise_linux:infinispan-core, p-cpe:/a:redhat:enterprise_linux:ironjacamar, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-api, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-impl, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-spi, p-cpe:/a:redhat:enterprise_linux:ironjacamar-core-api, p-cpe:/a:redhat:enterprise_linux:ironjacamar-core-impl, p-cpe:/a:redhat:enterprise_linux:ironjacamar-deployers-common, p-cpe:/a:redhat:enterprise_linux:ironjacamar-jdbc, p-cpe:/a:redhat:enterprise_linux:ironjacamar-spec-api, p-cpe:/a:redhat:enterprise_linux:ironjacamar-validator, p-cpe:/a:redhat:enterprise_linux:jaxbintros, p-cpe:/a:redhat:enterprise_linux:jboss-aesh, p-cpe:/a:redhat:enterprise_linux:jboss-as-appclient, p-cpe:/a:redhat:enterprise_linux:jboss-as-cli, p-cpe:/a:redhat:enterprise_linux:jboss-as-client-all, p-cpe:/a:redhat:enterprise_linux:jboss-as-clustering, p-cpe:/a:redhat:enterprise_linux:jboss-as-cmp, p-cpe:/a:redhat:enterprise_linux:jboss-as-configadmin, p-cpe:/a:redhat:enterprise_linux:jboss-as-connector, p-cpe:/a:redhat:enterprise_linux:jboss-as-console, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller-client, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-repository, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-scanner, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-http, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-management, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee-deployment, p-cpe:/a:redhat:enterprise_linux:jboss-as-ejb3, p-cpe:/a:redhat:enterprise_linux:jboss-as-embedded, p-cpe:/a:redhat:enterprise_linux:jboss-as-host-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-jacorb, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxr, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxrs, p-cpe:/a:redhat:enterprise_linux:jboss-as-jdr, p-cpe:/a:redhat:enterprise_linux:jboss-as-jmx, p-cpe:/a:redhat:enterprise_linux:jboss-as-jpa, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsf, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsr77, p-cpe:/a:redhat:enterprise_linux:jboss-as-logging, p-cpe:/a:redhat:enterprise_linux:jboss-as-mail, p-cpe:/a:redhat:enterprise_linux:jboss-as-management-client-content, p-cpe:/a:redhat:enterprise_linux:jboss-as-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-as-modcluster, p-cpe:/a:redhat:enterprise_linux:jboss-as-naming, p-cpe:/a:redhat:enterprise_linux:jboss-as-network, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-configadmin, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-service, p-cpe:/a:redhat:enterprise_linux:jboss-as-platform-mbean, p-cpe:/a:redhat:enterprise_linux:jboss-as-pojo, p-cpe:/a:redhat:enterprise_linux:jboss-as-process-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-protocol, p-cpe:/a:redhat:enterprise_linux:jboss-as-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-as-sar, p-cpe:/a:redhat:enterprise_linux:jboss-as-security, p-cpe:/a:redhat:enterprise_linux:jboss-as-server, p-cpe:/a:redhat:enterprise_linux:jboss-as-system-jmx, p-cpe:/a:redhat:enterprise_linux:jboss-as-threads, p-cpe:/a:redhat:enterprise_linux:jboss-as-transactions, p-cpe:/a:redhat:enterprise_linux:jboss-as-version, p-cpe:/a:redhat:enterprise_linux:jboss-as-web, p-cpe:/a:redhat:enterprise_linux:jboss-as-webservices, p-cpe:/a:redhat:enterprise_linux:jboss-as-weld, p-cpe:/a:redhat:enterprise_linux:jboss-as-xts, p-cpe:/a:redhat:enterprise_linux:jboss-ejb-client, p-cpe:/a:redhat:enterprise_linux:jboss-hal, p-cpe:/a:redhat:enterprise_linux:jboss-invocation, p-cpe:/a:redhat:enterprise_linux:jboss-jsp-api_2.2_spec, p-cpe:/a:redhat:enterprise_linux:jboss-logmanager, p-cpe:/a:redhat:enterprise_linux:jboss-marshalling, p-cpe:/a:redhat:enterprise_linux:jboss-modules, p-cpe:/a:redhat:enterprise_linux:jboss-remote-naming, p-cpe:/a:redhat:enterprise_linux:jboss-security-negotiation, p-cpe:/a:redhat:enterprise_linux:jboss-stdio, p-cpe:/a:redhat:enterprise_linux:jbossas-appclient, p-cpe:/a:redhat:enterprise_linux:jbossas-bundles, p-cpe:/a:redhat:enterprise_linux:jbossas-core, p-cpe:/a:redhat:enterprise_linux:jbossas-domain, p-cpe:/a:redhat:enterprise_linux:jbossas-hornetq-native, p-cpe:/a:redhat:enterprise_linux:jbossas-javadocs, p-cpe:/a:redhat:enterprise_linux:jbossas-modules-eap, p-cpe:/a:redhat:enterprise_linux:jbossas-product-eap, p-cpe:/a:redhat:enterprise_linux:jbossas-standalone, p-cpe:/a:redhat:enterprise_linux:jbossas-welcome-content-eap, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jbossws-common, p-cpe:/a:redhat:enterprise_linux:jbossws-cxf, p-cpe:/a:redhat:enterprise_linux:jbossws-spi, p-cpe:/a:redhat:enterprise_linux:jcip-annotations-eap6, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:log4j-jboss-logmanager, p-cpe:/a:redhat:enterprise_linux:mod_ssl, p-cpe:/a:redhat:enterprise_linux:netty, p-cpe:/a:redhat:enterprise_linux:opensaml, p-cpe:/a:redhat:enterprise_linux:openws, p-cpe:/a:redhat:enterprise_linux:picketbox, p-cpe:/a:redhat:enterprise_linux:picketlink-federation, p-cpe:/a:redhat:enterprise_linux:wss4j, p-cpe:/a:redhat:enterprise_linux:xml-security, cpe:/o:redhat:enterprise_linux:5
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/9/4
参照情報
CVE: CVE-2012-3499, CVE-2012-4558, CVE-2013-1862, CVE-2013-1896, CVE-2013-1921, CVE-2013-2172, CVE-2013-4112
BID: 58165, 59826, 60846, 61129, 61179, 62256
RHSA: 2013:1207