RHEL 5 / 6:JBoss EAP(RHSA-2014:0204)
low Nessus プラグイン ID 72678
Language:
概要
リモート Red Hat ホストにセキュリティ更新がありません。説明
1 つのセキュリティの問題を修正する更新済みの Red Hat JBoss Enterprise Application Platform 6.2.1 パッケージが、 Red Hat Enterprise Linux 5 と 6 で現在利用可能です。Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響は小さいと評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。
Red Hat JBoss Enterprise Application Platform 6 は、JBoss Application Server 7 をベースにした Java アプリケーション用のプラットフォームです。
Red Hat JBoss Enterprise Application Platform 6 で提供されるセキュリティ監査機能が平文でリクエストパラメーターをログに記録することが判明しました。このため、BASIC または FORM ベースの認証を使用する際に、監査ログファイルにパスワードが含まれる可能性があります。ローカルの攻撃者が、監査ログファイルにアクセスできる場合、この欠陥を利用して、アプリケーションまたはサーバーの認証情報を取得する可能性があります。
(CVE-2014-0058)
CVE-2014-0058 を修正するために提供されているパッチにより、監査ログで捕捉される Web リクエストの以下のコンポーネントをより強く制御することもできます:
- parameters - cookies - headers - attributes
マスクを使用してヘッダー、パラメーター、クッキー、および属性の一部の要素を選択的にマスクすることも可能です。この機能は、2 つのシステムプロパティにより提供されており、次のパッチにより導入されています:
1)org.jboss.security.web.audit
説明:このプロパティは、Web リクエストのセキュリティ監査の粒度を制御します。
取りうる値:off = Web リクエストの監査を無効にします。headers = Web リクエストのヘッダーのみを監査します。cookies = Web リクエストのクッキーのみを監査します。parameters = Web リクエストのパラメータのみを監査します。attributes = Web リクエストの属性のみを監査します。headers、cookies、parameters = Web リクエストのヘッダー、クッキー、およびパラメータを監査します。headers,cookies =Web リクエストのヘッダーおよびクッキーを監査します。
デフォルト値:headers、parameters
例:「org.jboss.security.web.audit=off」に設定すると、Web リクエストのセキュリティ監査が全面的に無効にになります。「org.jboss.security.web.audit=headers」に設定すると、Web リクエストでヘッダーのみのセキュリティ監査が有効になります。
2)org.jboss.security.web.audit.mask
説明:このプロパティは、Web リクエストのヘッダー、パラメーター、クッキー、および属性にマッチさせる文字列の一覧を指定するために使用できます。指定されたマスクにマッチする要素は、セキュリティ監査ログ記録から除外されます。
取りうる値:ヘッダー、パラメーター、クッキー、および属性のキーを示す任意のカンマ区切り文字列。
デフォルト値:j_password、authorization
注意:現在は、マスクの一致は厳密ではなく曖昧です。たとえば、「authorization」のマスクは、authorization と呼ばれるヘッダーと「custom_authorization」と呼ばれるパラメーターの両方をマスクします。将来のリリースで、厳密なマスクが導入される可能性があります。
警告:この更新を適用する前に、既存の Red Hat JBoss Enterprise Application Platform のインストール内容および展開済みアプリケーションをバックアップしてください。
Red Hat Enterprise Linux 5 および 6 上の Red Hat JBoss Enterprise Application Platform 6.2.1 の全ユーザーは、これらの更新済みパッケージにアップグレードすることが推奨されます。この更新を有効にするには、 JBoss サーバープロセスを再起動する必要があります。
ソリューション
影響を受ける jboss-as-web パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Low
ID: 72678
ファイル名: redhat-RHSA-2014-0204.nasl
バージョン: 1.18
タイプ: local
エージェント: unix
公開日: 2014/2/25
更新日: 2021/1/14
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.0
CVSS v2
リスクファクター: Low
基本値: 1.9
現状値: 1.4
ベクトル: CVSS2#AV:L/AC:M/Au:N/C:P/I:N/A:N
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:jboss-as-web, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:6
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/2/24
脆弱性公開日: 2014/2/26
参照情報
CVE: CVE-2014-0058
BID: 65762
RHSA: 2014:0204