RHEL 6 : Red Hat JBoss Enterprise Application Platform 6.1.1 の更新プログラム (重要度中) (RHSA-2013:1208)
medium Nessus プラグイン ID 69883
Language:
概要
リモートの Red Hat ホストに 1 つ以上のセキュリティ更新プログラムがありません。説明
リモート Redhat Enterprise Linux 6 ホストに、RHSA-2013:1208 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。Red Hat JBoss Enterprise Application Platform 6 は、JBoss Application Server 7 をベースにした Java アプリケーション用のプラットフォームです。
このリリースは、Red Hat JBoss Enterprise Application Platform 6.1.0 を置き換え、バグ修正と拡張機能が含まれています。最も重要な変更についての情報は、まもなく https://access.redhat.com/site/documentation/ からアクセスできる 6.1.1 リリースノートを参照してください。
セキュリティ修正:
クロスサイトスクリプティング(XSS)の欠陥が、mod_info、mod_status、mod_imagemap、mod_ldap、および mod_proxy_ftp のモジュールで発見されました。特別に細工されたホストヘッダーで、被害者のブラウザに HTTP リクエストを表示させることができた場合、攻撃者がこれらの欠陥を悪用して、XSS 攻撃を実行することが可能です。(CVE-2012-3499)
mod_proxy_balancer モジュールのマネージャー Web インターフェースに、クロスサイトスクリプティング(XSS)の欠陥が見つかりました。リモートの攻撃者は、ユーザーを騙して、マネージャー Web インターフェースにログインさせて、特別に細工された URL にアクセスさせることができた場合、このユーザーのマネージャーインターフェースセッションのコンテキストで、任意の Web スクリプトを実行する可能性があります。(CVE-2012-4558)
mod_dav モジュールがマージリクエストを処理する方法で、欠陥が見つかりました。攻撃者がこの欠陥を利用して、DAV に対して構成されていない URI が含まれる細工された MERGE リクエストを送信し、httpd 子プロセスをクラッシュさせる可能性があります。(CVE-2013-1896)
Apache Santuario XML Security for Java が XML 署名を検証する方法に欠陥が見つかりました。Santuario では、署名が任意の正規化アルゴリズムを指定することができ、それが SignedInfo XML フラグメントに適用されます。リモートの攻撃者がこれを悪用して、特別に細工された XML 署名ブロックを介して XML 署名を偽装する可能性があります。(CVE-2013-2172)
mod_rewrite がログファイルからのターミナルエスケープシーケンスをフィルター処理しなかったことが見つかりました。mod_rewrite が RewriteLog ディレクティブで構成された場合、リモートの攻撃者が特別に細工された HTTP リクエストを使用して、ターミナルエスケープシーケンスを mod_rewrite ログファイルに注入することが可能です。被害者がログファイルをターミナルエミュレーターで表示すると、そのユーザーの権限で任意のコードが実行される可能性があります。(CVE-2013-1862)
暗号化されたパスワードを保存するために PicketBox Vault が使用するデータファイルに、それ自体の管理者キーのコピーが含まれています。このファイルは、対応する JKS キーではなく、この管理者キーのみを使用して暗号化されます。Vault データファイルを読み取る権限のあるローカルの攻撃者が、当該のファイルから管理者キーを読み取り、そのキーを使用してファイルを復号化し、平文で保管されているパスワードを読み取る可能性があります。
(CVE-2013-1921)
JGroup の DiagnosticsHandler に欠陥が発見され、隣接するネットワーク上の攻撃者が、以前の成功した認証の認証情報を再利用することが可能です。診断情報(情報漏洩)を読み取ったり、制限されたリモートコードの実行を引き起こしたりするために、これが悪用される可能性があります。
(CVE-2013-4112)
警告:この更新を適用する前に、既存の Red Hat JBoss Enterprise Application Platform のインストール内容および展開済みアプリケーションをバックアップしてください。
詳細については、ソリューションセクションを参照してください。
Red Hat Enterprise Linux 6 の Red Hat JBoss Enterprise Application Platform 6.1.0 のすべてのユーザーには、これらの更新済みパッケージにアップグレードすることをお勧めします。この更新プログラムを有効にするには、JBoss サーバープロセスを再起動する必要があります。
Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://access.redhat.com/site/documentation/
https://bugzilla.redhat.com/show_bug.cgi?id=915883
https://bugzilla.redhat.com/show_bug.cgi?id=915884
https://bugzilla.redhat.com/show_bug.cgi?id=948106
https://bugzilla.redhat.com/show_bug.cgi?id=953729
https://bugzilla.redhat.com/show_bug.cgi?id=983489
https://bugzilla.redhat.com/show_bug.cgi?id=983549
https://bugzilla.redhat.com/show_bug.cgi?id=985025
https://bugzilla.redhat.com/show_bug.cgi?id=985061
https://bugzilla.redhat.com/show_bug.cgi?id=985173
https://bugzilla.redhat.com/show_bug.cgi?id=989597
https://bugzilla.redhat.com/show_bug.cgi?id=989606
https://bugzilla.redhat.com/show_bug.cgi?id=990636
https://bugzilla.redhat.com/show_bug.cgi?id=990657
https://bugzilla.redhat.com/show_bug.cgi?id=990662
https://bugzilla.redhat.com/show_bug.cgi?id=990671
https://bugzilla.redhat.com/show_bug.cgi?id=990686
https://bugzilla.redhat.com/show_bug.cgi?id=995115
https://bugzilla.redhat.com/show_bug.cgi?id=995290
https://bugzilla.redhat.com/show_bug.cgi?id=995563
https://bugzilla.redhat.com/show_bug.cgi?id=996313
https://bugzilla.redhat.com/show_bug.cgi?id=999263
http://www.nessus.org/u?85fcba10
https://access.redhat.com/errata/RHSA-2013:1208
https://access.redhat.com/security/updates/classification/#moderate
プラグインの詳細
深刻度: Medium
ID: 69883
ファイル名: redhat-RHSA-2013-1208.nasl
バージョン: 1.11
タイプ: local
エージェント: unix
公開日: 2013/9/13
更新日: 2025/3/20
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
Vendor
Vendor Severity: Moderate
CVSS v2
リスクファクター: Medium
基本値: 5.4
現状値: 4.2
ベクトル: CVSS2#AV:A/AC:M/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2013-4112
CVSS v3
リスクファクター: Medium
基本値: 6.1
現状値: 5.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS スコアのソース: CVE-2013-6495
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:jboss-aesh, p-cpe:/a:redhat:enterprise_linux:jcip-annotations-eap6, p-cpe:/a:redhat:enterprise_linux:cxf-xjc-boolean, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-http, p-cpe:/a:redhat:enterprise_linux:hibernate4-infinispan, p-cpe:/a:redhat:enterprise_linux:jbossas-hornetq-native, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-management, p-cpe:/a:redhat:enterprise_linux:cxf-xjc-dv, p-cpe:/a:redhat:enterprise_linux:jboss-as-host-controller, p-cpe:/a:redhat:enterprise_linux:opensaml, p-cpe:/a:redhat:enterprise_linux:log4j-jboss-logmanager, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsr77, p-cpe:/a:redhat:enterprise_linux:jboss-as-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-as-weld, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-api, p-cpe:/a:redhat:enterprise_linux:jboss-as-logging, p-cpe:/a:redhat:enterprise_linux:jboss-as-security, p-cpe:/a:redhat:enterprise_linux:jbossas-product-eap, p-cpe:/a:redhat:enterprise_linux:jboss-security-negotiation, p-cpe:/a:redhat:enterprise_linux:apache-commons-beanutils, p-cpe:/a:redhat:enterprise_linux:ironjacamar-core-api, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-impl, p-cpe:/a:redhat:enterprise_linux:hibernate4-envers, p-cpe:/a:redhat:enterprise_linux:infinispan, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller-client, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxr, p-cpe:/a:redhat:enterprise_linux:jboss-ejb-client, p-cpe:/a:redhat:enterprise_linux:infinispan-cachestore-jdbc, p-cpe:/a:redhat:enterprise_linux:jboss-as-pojo, p-cpe:/a:redhat:enterprise_linux:apache-cxf, p-cpe:/a:redhat:enterprise_linux:jboss-modules, p-cpe:/a:redhat:enterprise_linux:infinispan-cachestore-remote, p-cpe:/a:redhat:enterprise_linux:jboss-as-cmp, p-cpe:/a:redhat:enterprise_linux:hornetq, p-cpe:/a:redhat:enterprise_linux:jboss-as-platform-mbean, p-cpe:/a:redhat:enterprise_linux:jbossas-appclient, p-cpe:/a:redhat:enterprise_linux:jboss-as-appclient, p-cpe:/a:redhat:enterprise_linux:httpd-devel, p-cpe:/a:redhat:enterprise_linux:apache-commons-daemon-jsvc-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-as-network, p-cpe:/a:redhat:enterprise_linux:httpd-manual, p-cpe:/a:redhat:enterprise_linux:jbossas-javadocs, p-cpe:/a:redhat:enterprise_linux:jboss-as-naming, p-cpe:/a:redhat:enterprise_linux:jboss-as-embedded, p-cpe:/a:redhat:enterprise_linux:jboss-as-client-all, p-cpe:/a:redhat:enterprise_linux:jboss-as-jacorb, p-cpe:/a:redhat:enterprise_linux:jboss-as-server, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-repository, p-cpe:/a:redhat:enterprise_linux:jboss-logmanager, p-cpe:/a:redhat:enterprise_linux:httpd-tools, p-cpe:/a:redhat:enterprise_linux:openws, p-cpe:/a:redhat:enterprise_linux:picketlink-federation, p-cpe:/a:redhat:enterprise_linux:jboss-hal, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxrs, p-cpe:/a:redhat:enterprise_linux:jboss-stdio, p-cpe:/a:redhat:enterprise_linux:jbossws-common, p-cpe:/a:redhat:enterprise_linux:httpd, p-cpe:/a:redhat:enterprise_linux:jboss-marshalling, p-cpe:/a:redhat:enterprise_linux:jbossas-modules-eap, p-cpe:/a:redhat:enterprise_linux:jboss-as-console, p-cpe:/a:redhat:enterprise_linux:apache-cxf-xjc-utils, p-cpe:/a:redhat:enterprise_linux:infinispan-client-hotrod, p-cpe:/a:redhat:enterprise_linux:netty, p-cpe:/a:redhat:enterprise_linux:jboss-as-process-controller, p-cpe:/a:redhat:enterprise_linux:wss4j, p-cpe:/a:redhat:enterprise_linux:jboss-as-jdr, p-cpe:/a:redhat:enterprise_linux:mod_ssl, p-cpe:/a:redhat:enterprise_linux:jboss-as-ejb3, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-service, p-cpe:/a:redhat:enterprise_linux:jboss-as-management-client-content, p-cpe:/a:redhat:enterprise_linux:picketbox, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jboss-as-webservices, p-cpe:/a:redhat:enterprise_linux:jboss-remote-naming, p-cpe:/a:redhat:enterprise_linux:jbossas-welcome-content-eap, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller, p-cpe:/a:redhat:enterprise_linux:jboss-invocation, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-spi, p-cpe:/a:redhat:enterprise_linux:jbossas-bundles, p-cpe:/a:redhat:enterprise_linux:jbossas-core, p-cpe:/a:redhat:enterprise_linux:jboss-as-xts, p-cpe:/a:redhat:enterprise_linux:jboss-as-remoting, p-cpe:/a:redhat:enterprise_linux:ironjacamar-deployers-common, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-scanner, p-cpe:/a:redhat:enterprise_linux:jboss-jsp-api_2.2_spec, p-cpe:/a:redhat:enterprise_linux:jbossas-standalone, p-cpe:/a:redhat:enterprise_linux:jboss-as-clustering, p-cpe:/a:redhat:enterprise_linux:ironjacamar-core-impl, p-cpe:/a:redhat:enterprise_linux:jboss-as-jmx, p-cpe:/a:redhat:enterprise_linux:jboss-as-jpa, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-configadmin, p-cpe:/a:redhat:enterprise_linux:jboss-as-version, p-cpe:/a:redhat:enterprise_linux:ironjacamar-spec-api, p-cpe:/a:redhat:enterprise_linux:jboss-as-cli, p-cpe:/a:redhat:enterprise_linux:jbossws-spi, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsf, p-cpe:/a:redhat:enterprise_linux:jboss-as-mail, p-cpe:/a:redhat:enterprise_linux:jboss-as-system-jmx, p-cpe:/a:redhat:enterprise_linux:jboss-as-configadmin, p-cpe:/a:redhat:enterprise_linux:hibernate4-core, p-cpe:/a:redhat:enterprise_linux:ironjacamar, p-cpe:/a:redhat:enterprise_linux:hornetq-native, p-cpe:/a:redhat:enterprise_linux:xml-security, p-cpe:/a:redhat:enterprise_linux:hibernate4-entitymanager, p-cpe:/a:redhat:enterprise_linux:jboss-as-connector, p-cpe:/a:redhat:enterprise_linux:jaxbintros, p-cpe:/a:redhat:enterprise_linux:ironjacamar-validator, p-cpe:/a:redhat:enterprise_linux:cxf-xjc-ts, p-cpe:/a:redhat:enterprise_linux:ironjacamar-jdbc, p-cpe:/a:redhat:enterprise_linux:jbossas-domain, p-cpe:/a:redhat:enterprise_linux:jboss-as-web, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee-deployment, p-cpe:/a:redhat:enterprise_linux:jboss-as-transactions, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi, p-cpe:/a:redhat:enterprise_linux:jbossws-cxf, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:infinispan-core, p-cpe:/a:redhat:enterprise_linux:hibernate4, p-cpe:/a:redhat:enterprise_linux:jboss-as-threads, p-cpe:/a:redhat:enterprise_linux:jboss-as-sar, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee, p-cpe:/a:redhat:enterprise_linux:jboss-as-modcluster, p-cpe:/a:redhat:enterprise_linux:jboss-as-protocol
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2013/9/4
参照情報
CVE: CVE-2012-3499, CVE-2012-4558, CVE-2013-1862, CVE-2013-1896, CVE-2013-1921, CVE-2013-2172, CVE-2013-4112, CVE-2013-6495