RHEL 6:JBoss EAP(RHSA-2014:0171)
medium Nessus プラグイン ID 72498
Language:
概要
リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。説明
Red Hat JBoss Enterprise Application Platform 6.2.1 を提供し、 3 つのセキュリティの問題といくつかのバグを修正し、いくつかの拡張機能を追加する更新済みパッケージが、Red Hat Enterprise Linux 6 で現在利用可能です。Red Hat セキュリティレスポンスチームは、この更新のセキュリティ上の影響は中程度であると評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。
Red Hat JBoss Enterprise Application Platform 6 は、JBoss Application Server 7 をベースにした Java アプリケーション用のプラットフォームです。
OpenSAML Java の実装でParserPool クラスと Decrypter クラスが外部エンティティを解決していることが見つかりました。これにより、XML 外部エンティティ(XXE)の攻撃が可能でした。リモートの攻撃者が、この欠陥を利用して、アプリケーションサーバーを実行しているユーザーがアクセスできるファイルを読み取り、より高度な別の XXE 攻撃を行う可能性があります。
(CVE-2013-6440)
Apache Santuario XML Security for Java プロジェクトが、安全な検証が有効であっても、Transform を適用する際にドキュメント型式定義(DTD)の処理を許可したことがわかりました。リモートの攻撃者が、この欠陥を利用して、システム上のすべての使用可能なメモリを使い果たし、サービス拒否を引き起こす可能性があります。(CVE-2013-4517)
Red Hat JBoss Enterprise Application Platform で、セキュリティマネージャーで実行中の場合、配置したコードが、Modular Service Container(MSC)のサービスレジストリに、権限のチェックなしにアクセスできていました。このため、悪意ある配置により、さまざまな方法でサーバー内部の状態を変更される可能性があります。(CVE-2014-0018)
CVE-2013-6440 は、Gotham Digital Science の David Illsley 氏、Ron Gutierrez 氏、および Red Hat セキュリティレスポンスチームの David Jorm 氏により発見されました。そして、CVE-2014-0018 の問題は、Red Hat の Stuart Douglas 氏により発見されました。
このリリースは JBoss Enterprise Application Platform 6.2.0 の代替であり、バグ修正および拡張機能を含んでいます。これらの変更についてのドキュメントは、リファレンスでリンクされている、JBoss Enterprise Application Platform 6.2.1 のリリースノートから間もなく入手できます。
Red Hat Enterprise Linux 6 上の Red Hat JBoss Enterprise Application Platform 6.2.0 の全ユーザーは、これらの更新済みのパッケージへアップグレードすることが推奨されます。この更新を有効にするには、 JBoss サーバープロセスを再起動する必要があります。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://www.redhat.com/security/data/cve/CVE-2013-4517.html
https://www.redhat.com/security/data/cve/CVE-2013-6440.html
https://www.redhat.com/security/data/cve/CVE-2014-0018.html
プラグインの詳細
深刻度: Medium
ID: 72498
ファイル名: redhat-RHSA-2014-0171.nasl
バージョン: 1.12
タイプ: local
エージェント: unix
公開日: 2014/2/14
更新日: 2021/1/14
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 4.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:hornetq, p-cpe:/a:redhat:enterprise_linux:jacorb-jboss, p-cpe:/a:redhat:enterprise_linux:jboss-as-appclient, p-cpe:/a:redhat:enterprise_linux:jboss-as-cli, p-cpe:/a:redhat:enterprise_linux:jboss-as-client-all, p-cpe:/a:redhat:enterprise_linux:jboss-as-clustering, p-cpe:/a:redhat:enterprise_linux:jboss-as-cmp, p-cpe:/a:redhat:enterprise_linux:jboss-as-configadmin, p-cpe:/a:redhat:enterprise_linux:jboss-as-connector, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller-client, p-cpe:/a:redhat:enterprise_linux:jboss-as-core-security, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-repository, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-scanner, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-http, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-management, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee-deployment, p-cpe:/a:redhat:enterprise_linux:jboss-as-ejb3, p-cpe:/a:redhat:enterprise_linux:jboss-as-embedded, p-cpe:/a:redhat:enterprise_linux:jboss-as-host-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-jacorb, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxr, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxrs, p-cpe:/a:redhat:enterprise_linux:jboss-as-jdr, p-cpe:/a:redhat:enterprise_linux:jboss-as-jmx, p-cpe:/a:redhat:enterprise_linux:jboss-as-jpa, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsf, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsr77, p-cpe:/a:redhat:enterprise_linux:jboss-as-logging, p-cpe:/a:redhat:enterprise_linux:jboss-as-mail, p-cpe:/a:redhat:enterprise_linux:jboss-as-management-client-content, p-cpe:/a:redhat:enterprise_linux:jboss-as-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-as-modcluster, p-cpe:/a:redhat:enterprise_linux:jboss-as-naming, p-cpe:/a:redhat:enterprise_linux:jboss-as-network, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-configadmin, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-service, p-cpe:/a:redhat:enterprise_linux:jboss-as-platform-mbean, p-cpe:/a:redhat:enterprise_linux:jboss-as-pojo, p-cpe:/a:redhat:enterprise_linux:jboss-as-process-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-protocol, p-cpe:/a:redhat:enterprise_linux:jboss-as-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-as-sar, p-cpe:/a:redhat:enterprise_linux:jboss-as-security, p-cpe:/a:redhat:enterprise_linux:jboss-as-server, p-cpe:/a:redhat:enterprise_linux:jboss-as-system-jmx, p-cpe:/a:redhat:enterprise_linux:jboss-as-threads, p-cpe:/a:redhat:enterprise_linux:jboss-as-transactions, p-cpe:/a:redhat:enterprise_linux:jboss-as-version, p-cpe:/a:redhat:enterprise_linux:jboss-as-web, p-cpe:/a:redhat:enterprise_linux:jboss-as-webservices, p-cpe:/a:redhat:enterprise_linux:jboss-as-weld, p-cpe:/a:redhat:enterprise_linux:jboss-as-xts, p-cpe:/a:redhat:enterprise_linux:jboss-logmanager, p-cpe:/a:redhat:enterprise_linux:jboss-marshalling, p-cpe:/a:redhat:enterprise_linux:jboss-xnio-base, p-cpe:/a:redhat:enterprise_linux:jbossas-core, p-cpe:/a:redhat:enterprise_linux:jbossas-javadocs, p-cpe:/a:redhat:enterprise_linux:jbossas-modules-eap, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:netty, p-cpe:/a:redhat:enterprise_linux:picketbox, p-cpe:/a:redhat:enterprise_linux:weld-core, p-cpe:/a:redhat:enterprise_linux:xml-security, p-cpe:/a:redhat:enterprise_linux:xmltooling, cpe:/o:redhat:enterprise_linux:6
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/2/13
参照情報
CVE: CVE-2013-4517, CVE-2013-6440, CVE-2014-0018
RHSA: 2014:0171