RHEL 6:JBoss EAP(RHSA-2014:0799)
medium Nessus プラグイン ID 76293
Language:
概要
リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。説明
Red Hat JBoss Enterprise Application Platform 6.2.4 を提供し、多数のセキュリティ問題と複数のバグを修正し、多様な拡張機能を追加する、更新済みのパッケージが、Red Hat Enterprise Linux 6 で現在利用可能です。Red Hat セキュリティレスポンスチームは、この更新のセキュリティ上の影響は中程度であると評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。
Red Hat JBoss Enterprise Application Platform 6 は、JBoss Application Server 7 をベースにした Java アプリケーション用のプラットフォームです。
Apache CXF は、Red Hat Jboss Enterprise Application Platform の一部のオープンソースサービスフレームワークです。
Apache CXF の一部として提供されている Security TokenService(STS)が、特定の状況下において無効な SMAL トークンを有効なトークンとして承認していることが判明しました。リモートの攻撃者は特別に細工された SMAL トークンを利用して、 SMAL トークンの検証に STS を使用するアプリケーションに対するアクセスを取得することができます。(CVE-2014-0034)
Apache CXF が特定の POST リクエストのエラーメッセージを作成した方法で、サービス拒否の欠陥が見つかりました。Apache CXF を使用するアプリケーションに処理される場合、リモートの攻撃者は特別に細工されたリクエストを送信できます。これにより、システム上で過剰なメモリが消費され、メモリ不足(OOM)エラーがトリガーがされることがあります。
(CVE-2014-0109)
大量の無効な SOAP メッセージが Apache CXF により処理された場合、/tmp ディレクトの一時ファイルに保存される可能性があることが判明しました。Apache CXF を使用するアプリケーションによって処理される場合、リモートの攻撃者は特別に細工された SOAP メッセージを送信することができます。これにより、過剰なディスク容量を使用し、サービス拒否を発生させる可能性があります。(CVE-2014-0110)
RESTful Web Service(JAX-RS)実装用の Java API が外部のエンティティ拡張をデフォルトで有効化していたことが判明しました。リモートの攻撃者はこの欠陥を利用して、アプリケーションサーバーユーザーがアクセス可能な任意のファイルのコンテンツを表示することができます。(CVE-2014-3481)
UsernameToken が、Symmetric EncryptBeforeSigning パスワードポリシーを使用していた Apache CXF クライアントによって平文で送信されていたことが判明しました。中間者攻撃を行う攻撃者はこの欠陥を利用して、Apache CXF を使用するクライアントアプリケーションによって使用されるユーザー名およびパスワードを取得することができます。(CVE-2014-0035)
Red Hat JBoss Enterprise Application Platform QE チームにより、CVE-2014-3481 問題が発見されました。
このリリースは、Red Hat JBoss Enterprise Application Platform 6.2.3 を置き換え、バグ修正および拡張機能を提供します。
これらの変更についてのドキュメントは、「参照」でリンクされている、Red Hat JBoss Enterprise Application Platform 6.2.4 のリリースノートから、間もなく使用できます。
Red Hat Enterprise Linux 6 での Red Hat JBoss Enterprise Application Platform 6.2 のすべてのユーザーには、これらの更新済みパッケージにアップグレードすることを推奨します。この更新を有効にするには、 JBoss サーバープロセスを再起動する必要があります。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://access.redhat.com/documentation/en-US/
https://access.redhat.com/errata/RHSA-2014:0799
https://access.redhat.com/security/cve/cve-2014-0109
https://access.redhat.com/security/cve/cve-2014-3481
https://access.redhat.com/security/cve/cve-2014-0110
プラグインの詳細
深刻度: Medium
ID: 76293
ファイル名: redhat-RHSA-2014-0799.nasl
バージョン: 1.14
タイプ: local
エージェント: unix
公開日: 2014/6/28
更新日: 2021/1/14
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 4.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:apache-cxf, p-cpe:/a:redhat:enterprise_linux:hibernate4-core-eap6, p-cpe:/a:redhat:enterprise_linux:hibernate4-eap6, p-cpe:/a:redhat:enterprise_linux:hibernate4-entitymanager-eap6, p-cpe:/a:redhat:enterprise_linux:hibernate4-envers-eap6, p-cpe:/a:redhat:enterprise_linux:hibernate4-infinispan-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-aesh, p-cpe:/a:redhat:enterprise_linux:jboss-as-appclient, p-cpe:/a:redhat:enterprise_linux:jboss-as-cli, p-cpe:/a:redhat:enterprise_linux:jboss-as-client-all, p-cpe:/a:redhat:enterprise_linux:jboss-as-clustering, p-cpe:/a:redhat:enterprise_linux:jboss-as-cmp, p-cpe:/a:redhat:enterprise_linux:jboss-as-configadmin, p-cpe:/a:redhat:enterprise_linux:jboss-as-connector, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller-client, p-cpe:/a:redhat:enterprise_linux:jboss-as-core-security, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-repository, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-scanner, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-http, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-management, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee-deployment, p-cpe:/a:redhat:enterprise_linux:jboss-as-ejb3, p-cpe:/a:redhat:enterprise_linux:jboss-as-embedded, p-cpe:/a:redhat:enterprise_linux:jboss-as-host-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-jacorb, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxr, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxrs, p-cpe:/a:redhat:enterprise_linux:jboss-as-jdr, p-cpe:/a:redhat:enterprise_linux:jboss-as-jmx, p-cpe:/a:redhat:enterprise_linux:jboss-as-jpa, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsf, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsr77, p-cpe:/a:redhat:enterprise_linux:jboss-as-logging, p-cpe:/a:redhat:enterprise_linux:jboss-as-mail, p-cpe:/a:redhat:enterprise_linux:jboss-as-management-client-content, p-cpe:/a:redhat:enterprise_linux:jboss-as-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-as-modcluster, p-cpe:/a:redhat:enterprise_linux:jboss-as-naming, p-cpe:/a:redhat:enterprise_linux:jboss-as-network, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-configadmin, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-service, p-cpe:/a:redhat:enterprise_linux:jboss-as-platform-mbean, p-cpe:/a:redhat:enterprise_linux:jboss-as-pojo, p-cpe:/a:redhat:enterprise_linux:jboss-as-process-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-protocol, p-cpe:/a:redhat:enterprise_linux:jboss-as-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-as-sar, p-cpe:/a:redhat:enterprise_linux:jboss-as-security, p-cpe:/a:redhat:enterprise_linux:jboss-as-server, p-cpe:/a:redhat:enterprise_linux:jboss-as-system-jmx, p-cpe:/a:redhat:enterprise_linux:jboss-as-threads, p-cpe:/a:redhat:enterprise_linux:jboss-as-transactions, p-cpe:/a:redhat:enterprise_linux:jboss-as-version, p-cpe:/a:redhat:enterprise_linux:jboss-as-web, p-cpe:/a:redhat:enterprise_linux:jboss-as-webservices, p-cpe:/a:redhat:enterprise_linux:jboss-as-weld, p-cpe:/a:redhat:enterprise_linux:jboss-as-xts, p-cpe:/a:redhat:enterprise_linux:jboss-security-negotiation, p-cpe:/a:redhat:enterprise_linux:jboss-xnio-base, p-cpe:/a:redhat:enterprise_linux:jbossas-appclient, p-cpe:/a:redhat:enterprise_linux:jbossas-bundles, p-cpe:/a:redhat:enterprise_linux:jbossas-core, p-cpe:/a:redhat:enterprise_linux:jbossas-domain, p-cpe:/a:redhat:enterprise_linux:jbossas-javadocs, p-cpe:/a:redhat:enterprise_linux:jbossas-modules-eap, p-cpe:/a:redhat:enterprise_linux:jbossas-product-eap, p-cpe:/a:redhat:enterprise_linux:jbossas-standalone, p-cpe:/a:redhat:enterprise_linux:jbossas-welcome-content-eap, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:picketbox, p-cpe:/a:redhat:enterprise_linux:resteasy, p-cpe:/a:redhat:enterprise_linux:weld-core, p-cpe:/a:redhat:enterprise_linux:wss4j, cpe:/o:redhat:enterprise_linux:6
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/6/26
脆弱性公開日: 2014/5/8
参照情報
CVE: CVE-2014-0034, CVE-2014-0035, CVE-2014-0109, CVE-2014-0110, CVE-2014-3481
RHSA: 2014:0799