RHEL 5:JBoss EAP(RHSA-2014:0343)
medium Nessus プラグイン ID 73283
Language:
概要
リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。説明
Red Hat JBoss Enterprise Application Platform 6.2.2 を提供し、 2 つのセキュリティ問題と複数のバグを修正し、さまざまな強化を追加する、更新されたパッケージが、Red Hat Enterprise Linux 5 で使用できるようになりました。Red Hat セキュリティレスポンスチームは、この更新のセキュリティ上の影響は中程度であると評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。
Red Hat JBoss Enterprise Application Platform 6 は、JBoss Application Server 7 をベースにした Java アプリケーション用のプラットフォームです。
JBoss Web が一連の HTTP リクエストを処理するときに、 JBoss Web によってそのリクエストが不適切に処理される場合があることが、見つかりました。このリクエストでは、1 つ以上のリクエストに、複数の content-length ヘッダー、またはチャンク転送エンコーディングヘッダー付きの 1 つの content-length ヘッダーの、いずれかが含まれています。リモートの攻撃者は、この欠陥を悪用して、Web キャッシュを害する、クロスサイトスクリプティング(XSS)攻撃を仕掛けるか、その他のリクエストから機密情報を入手する可能性があります。(CVE-2013-4286)
ポリシーファイルを介して構成された Java Security Manager の権限が適切に適用されないことが見つかりました。これにより、配備されたすべてのアプリケーションに、java.security.AllPermission 権限が付与されました。
場合によっては、攻撃者が、この欠陥を利用して、期待されるセキュリティ対策を回避して、制限されるはずのアクションを実行することがありました。(CVE-2014-0093)
CVE-2014-0093 の問題が、Red Hat JBoss EAP Quality Engineering チームの Josef Cacek 氏により発見されました。
このリリースは、Red Hat JBoss Enterprise Application Platform 6.2 の更新に使用され、バグ修正および強化が含まれています。
これらの変更についてのドキュメントは、「参照」でリンクされている、Red Hat JBoss Enterprise Application Platform 6.2.2 のリリースノートから、間もなく使用できます。
Red Hat Enterprise Linux 5 での Red Hat JBoss Enterprise Application Platform 6.2 のすべてのユーザーには、これらの更新済みパッケージにアップグレードすることを推奨します。この更新を有効にするには、 JBoss サーバープロセスを再起動する必要があります。
ソリューション
影響を受けるパッケージを更新してください。参考資料
http://www.nessus.org/u?48f60b87
http://www.nessus.org/u?d1c3ce8d
https://bugzilla.redhat.com/show_bug.cgi?id=1063448
https://bugzilla.redhat.com/show_bug.cgi?id=1066498
https://bugzilla.redhat.com/show_bug.cgi?id=1066504
https://bugzilla.redhat.com/show_bug.cgi?id=1066506
https://bugzilla.redhat.com/show_bug.cgi?id=1066513
https://bugzilla.redhat.com/show_bug.cgi?id=1067101
https://bugzilla.redhat.com/show_bug.cgi?id=1067168
https://bugzilla.redhat.com/show_bug.cgi?id=1067321
https://bugzilla.redhat.com/show_bug.cgi?id=1067509
https://bugzilla.redhat.com/show_bug.cgi?id=1067649
https://bugzilla.redhat.com/show_bug.cgi?id=1068712
https://bugzilla.redhat.com/show_bug.cgi?id=1069602
https://bugzilla.redhat.com/show_bug.cgi?id=1069921
https://bugzilla.redhat.com/show_bug.cgi?id=1070046
https://bugzilla.redhat.com/show_bug.cgi?id=1076115
https://bugzilla.redhat.com/show_bug.cgi?id=1076134
https://bugzilla.redhat.com/show_bug.cgi?id=1076168
https://access.redhat.com/errata/RHSA-2014:0343
https://access.redhat.com/security/updates/classification/#moderate
プラグインの詳細
深刻度: Medium
ID: 73283
ファイル名: redhat-RHSA-2014-0343.nasl
バージョン: 1.19
タイプ: local
エージェント: unix
公開日: 2014/4/1
更新日: 2024/4/24
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.2
CVSS v2
リスクファクター: Medium
基本値: 5.8
現状値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
CVSS スコアのソース: CVE-2014-0093
CVSS v3
リスクファクター: Medium
基本値: 5.4
現状値: 4.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2013-4286
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:apache-cxf, p-cpe:/a:redhat:enterprise_linux:glassfish-jsf-eap6, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-api-eap6, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-impl-eap6, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-spi-eap6, p-cpe:/a:redhat:enterprise_linux:ironjacamar-core-api-eap6, p-cpe:/a:redhat:enterprise_linux:ironjacamar-core-impl-eap6, p-cpe:/a:redhat:enterprise_linux:ironjacamar-deployers-common-eap6, p-cpe:/a:redhat:enterprise_linux:ironjacamar-eap6, p-cpe:/a:redhat:enterprise_linux:ironjacamar-jdbc-eap6, p-cpe:/a:redhat:enterprise_linux:ironjacamar-spec-api-eap6, p-cpe:/a:redhat:enterprise_linux:ironjacamar-validator-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-as-appclient, p-cpe:/a:redhat:enterprise_linux:jboss-as-cli, p-cpe:/a:redhat:enterprise_linux:jboss-as-client-all, p-cpe:/a:redhat:enterprise_linux:jboss-as-clustering, p-cpe:/a:redhat:enterprise_linux:jboss-as-cmp, p-cpe:/a:redhat:enterprise_linux:jboss-as-configadmin, p-cpe:/a:redhat:enterprise_linux:jboss-as-connector, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller-client, p-cpe:/a:redhat:enterprise_linux:jboss-as-core-security, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-repository, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-scanner, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-http, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-management, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsr77, p-cpe:/a:redhat:enterprise_linux:jboss-as-logging, p-cpe:/a:redhat:enterprise_linux:jboss-as-mail, p-cpe:/a:redhat:enterprise_linux:jboss-as-management-client-content, p-cpe:/a:redhat:enterprise_linux:jboss-as-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-as-modcluster, p-cpe:/a:redhat:enterprise_linux:jboss-as-naming, p-cpe:/a:redhat:enterprise_linux:jboss-as-network, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-configadmin, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-service, p-cpe:/a:redhat:enterprise_linux:jboss-as-platform-mbean, p-cpe:/a:redhat:enterprise_linux:jboss-as-pojo, p-cpe:/a:redhat:enterprise_linux:jboss-as-process-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-protocol, p-cpe:/a:redhat:enterprise_linux:jboss-as-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-as-sar, p-cpe:/a:redhat:enterprise_linux:jboss-as-security, p-cpe:/a:redhat:enterprise_linux:jboss-as-server, p-cpe:/a:redhat:enterprise_linux:jboss-as-system-jmx, p-cpe:/a:redhat:enterprise_linux:jboss-as-threads, p-cpe:/a:redhat:enterprise_linux:jboss-as-transactions, p-cpe:/a:redhat:enterprise_linux:jboss-as-version, p-cpe:/a:redhat:enterprise_linux:jboss-as-web, p-cpe:/a:redhat:enterprise_linux:jboss-as-webservices, p-cpe:/a:redhat:enterprise_linux:jboss-as-weld, p-cpe:/a:redhat:enterprise_linux:jboss-as-xts, p-cpe:/a:redhat:enterprise_linux:jboss-ejb-client, p-cpe:/a:redhat:enterprise_linux:jboss-el-api_2.2_spec, p-cpe:/a:redhat:enterprise_linux:jboss-jsf-api_2.1_spec, p-cpe:/a:redhat:enterprise_linux:jboss-metadata, p-cpe:/a:redhat:enterprise_linux:jboss-metadata-appclient, p-cpe:/a:redhat:enterprise_linux:jboss-metadata-common, p-cpe:/a:redhat:enterprise_linux:jboss-metadata-ear, p-cpe:/a:redhat:enterprise_linux:jboss-metadata-ejb, p-cpe:/a:redhat:enterprise_linux:jboss-metadata-web, p-cpe:/a:redhat:enterprise_linux:jboss-modules, p-cpe:/a:redhat:enterprise_linux:jboss-remote-naming, p-cpe:/a:redhat:enterprise_linux:jboss-remoting3, p-cpe:/a:redhat:enterprise_linux:jboss-security-negotiation, p-cpe:/a:redhat:enterprise_linux:jbossas-core, p-cpe:/a:redhat:enterprise_linux:jbossas-javadocs, p-cpe:/a:redhat:enterprise_linux:jbossas-modules-eap, p-cpe:/a:redhat:enterprise_linux:jbossas-product-eap, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jbossws-cxf, p-cpe:/a:redhat:enterprise_linux:picketbox, p-cpe:/a:redhat:enterprise_linux:wss4j, cpe:/o:redhat:enterprise_linux:5, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee-deployment, p-cpe:/a:redhat:enterprise_linux:jboss-as-ejb3, p-cpe:/a:redhat:enterprise_linux:jboss-as-embedded, p-cpe:/a:redhat:enterprise_linux:jboss-as-host-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-jacorb, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxr, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxrs, p-cpe:/a:redhat:enterprise_linux:jboss-as-jdr, p-cpe:/a:redhat:enterprise_linux:jboss-as-jmx, p-cpe:/a:redhat:enterprise_linux:jboss-as-jpa, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsf
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/3/31
参照情報
CVE: CVE-2013-4286, CVE-2014-0005, CVE-2014-0093
BID: 66596