RHEL 5 : Red Hat JBoss Enterprise Application Platform 6.3.0 の更新プログラム (重要度高) (RHSA-2014:1019)
medium Nessus プラグイン ID 77078
Language:
概要
リモートの Red Hat ホストに 1 つ以上のセキュリティ更新プログラムがありません。説明
リモート Redhat Enterprise Linux 5 ホストに、RHSA-2014:1019 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。Red Hat JBoss Enterprise Application Platform 6 は、JBoss Application Server 7 をベースにした Java アプリケーション用のプラットフォームです。
ヒープベースのバッファオーバーフローにつながる競合状態の欠陥が、mod_status httpd モジュールに見つかりました。スレッドマルチプセッシングモジュール (MPM) を使用しているサーバーで mod_status が提供するステータスページにアクセスできるリモートの攻撃者は、特別に細工されたリクエストを送信することができます。これにより、httpd 子プロセスをクラッシュさせることや、攻撃者が apache ユーザーの権限で任意のコードを実行できるようになることがあります。(CVE-2014-0226)
httpd の mod_deflate モジュールがリクエスト本体の解凍(DEFLATE 入力フィルターから構成された)を処理していた方法で、サービス拒否の欠陥が見つかりました。どの本体を解凍するかについてのリクエストを送信できるリモートの攻撃者はこの欠陥を利用して、システムメモリや CPU をターゲットシステムで過剰に消費できます。(CVE-2014-0118)
httpd の mod_cgid モジュールが標準入力からデータを読み込んでいなかった CGI スクリプトを実行した方法で、サービス拒否の欠陥が見つかりました。
リモートの攻撃者は、httpd 子プロセスを無制限にハングさせることのできる特別に細工されたリクエストを送信することができます。(CVE-2014-0231)
WebSocket08FrameDecoder 実装に欠陥が見つかりました。これにより、リモートの攻撃者は、一連の TextWebSocketFrame および ContinuationWebSocketFrames を発行することでメモリ不足 Exception をトリガーすることができます。サーバー構成によっては、サービス拒否につながることがあります。
(CVE-2014-0193)
SimpleSecurityManager の isCallerInRole() メソッドが呼び出し元のロールを適切にチェックしていないことが判明しました。リモートの認証されている攻撃者はこの欠陥を利用して、呼び出し元のロールに基づいてブラックリストアクセスコントロールを使用するアプリケーションで呼び出し元のチェックを回避することができます。(CVE-2014-3472)
Red Hat は、CVE-2014-0193を報告してくれた James Roper 氏、CVE-2014-3472 を報告してくれた CA Technologies に感謝の意を表します。
この JBoss Enterprise Application Platform のリリースには、バグ修正や拡張機能も含まれています。これらの変更についてのドキュメントは、「参照」でリンクされている、『Red Hat JBoss Enterprise Application Platform 6.3.0リリースノート』から、間もなく使用できます。
Red Hat Enterprise Linux 5 上で JBoss Enterprise Application Platform 6.3.0 を必要とする全ユーザーは、これらの新しいパッケージをインストールする必要があります。この更新プログラムを有効にするには、JBoss サーバープロセスを再起動する必要があります。
Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
http://www.nessus.org/u?8937e67e
http://www.nessus.org/u?c720f7b0
https://access.redhat.com/errata/RHSA-2014:1019
https://access.redhat.com/security/updates/classification/#important
https://bugzilla.redhat.com/show_bug.cgi?id=1038658
https://bugzilla.redhat.com/show_bug.cgi?id=1052745
https://bugzilla.redhat.com/show_bug.cgi?id=1053239
https://bugzilla.redhat.com/show_bug.cgi?id=1053245
https://bugzilla.redhat.com/show_bug.cgi?id=1053254
https://bugzilla.redhat.com/show_bug.cgi?id=1053261
https://bugzilla.redhat.com/show_bug.cgi?id=1053775
https://bugzilla.redhat.com/show_bug.cgi?id=1067505
https://bugzilla.redhat.com/show_bug.cgi?id=1067567
https://bugzilla.redhat.com/show_bug.cgi?id=1069415
https://bugzilla.redhat.com/show_bug.cgi?id=1071414
https://bugzilla.redhat.com/show_bug.cgi?id=1072567
https://bugzilla.redhat.com/show_bug.cgi?id=1072592
https://bugzilla.redhat.com/show_bug.cgi?id=1076644
https://bugzilla.redhat.com/show_bug.cgi?id=1076650
https://bugzilla.redhat.com/show_bug.cgi?id=1076653
https://bugzilla.redhat.com/show_bug.cgi?id=1078673
https://bugzilla.redhat.com/show_bug.cgi?id=1079399
https://bugzilla.redhat.com/show_bug.cgi?id=1079410
https://bugzilla.redhat.com/show_bug.cgi?id=1079414
https://bugzilla.redhat.com/show_bug.cgi?id=1079417
https://bugzilla.redhat.com/show_bug.cgi?id=1079422
https://bugzilla.redhat.com/show_bug.cgi?id=1079426
https://bugzilla.redhat.com/show_bug.cgi?id=1079431
https://bugzilla.redhat.com/show_bug.cgi?id=1079480
https://bugzilla.redhat.com/show_bug.cgi?id=1079794
https://bugzilla.redhat.com/show_bug.cgi?id=1079897
https://bugzilla.redhat.com/show_bug.cgi?id=1080388
https://bugzilla.redhat.com/show_bug.cgi?id=1080714
https://bugzilla.redhat.com/show_bug.cgi?id=1080722
https://bugzilla.redhat.com/show_bug.cgi?id=1080776
https://bugzilla.redhat.com/show_bug.cgi?id=1081266
https://bugzilla.redhat.com/show_bug.cgi?id=1081631
https://bugzilla.redhat.com/show_bug.cgi?id=1082057
https://bugzilla.redhat.com/show_bug.cgi?id=1084348
https://bugzilla.redhat.com/show_bug.cgi?id=1086793
https://bugzilla.redhat.com/show_bug.cgi?id=1092089
https://bugzilla.redhat.com/show_bug.cgi?id=1092104
https://bugzilla.redhat.com/show_bug.cgi?id=1092783
https://bugzilla.redhat.com/show_bug.cgi?id=1102510
https://bugzilla.redhat.com/show_bug.cgi?id=1102513
https://bugzilla.redhat.com/show_bug.cgi?id=1103815
https://bugzilla.redhat.com/show_bug.cgi?id=1120596
プラグインの詳細
深刻度: Medium
ID: 77078
ファイル名: redhat-RHSA-2014-1019.nasl
バージョン: 1.28
タイプ: local
エージェント: unix
公開日: 2014/8/8
更新日: 2025/3/20
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
Vendor
Vendor Severity: Important
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2014-0226
CVSS v3
リスクファクター: Medium
基本値: 6.5
現状値: 5.9
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS スコアのソース: CVE-2014-0227
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxrs, p-cpe:/a:redhat:enterprise_linux:picketlink-bindings, p-cpe:/a:redhat:enterprise_linux:httpcomponents-client-eap6, p-cpe:/a:redhat:enterprise_linux:apache-commons-lang-eap6, p-cpe:/a:redhat:enterprise_linux:jbossws-cxf, p-cpe:/a:redhat:enterprise_linux:jaxbintros, p-cpe:/a:redhat:enterprise_linux:glassfish-jaxb-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-as-appclient, p-cpe:/a:redhat:enterprise_linux:rngom-eap6, p-cpe:/a:redhat:enterprise_linux:tomcat-native, p-cpe:/a:redhat:enterprise_linux:xml-commons-resolver-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-as-client-all, p-cpe:/a:redhat:enterprise_linux:jboss-as-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-configadmin, p-cpe:/a:redhat:enterprise_linux:jboss-metadata-ear, p-cpe:/a:redhat:enterprise_linux:infinispan-core, p-cpe:/a:redhat:enterprise_linux:jboss-as-weld, p-cpe:/a:redhat:enterprise_linux:stilts, p-cpe:/a:redhat:enterprise_linux:jboss-as-clustering, p-cpe:/a:redhat:enterprise_linux:mod_cluster-demo, p-cpe:/a:redhat:enterprise_linux:jboss-logging, p-cpe:/a:redhat:enterprise_linux:jboss-as-configadmin, cpe:/o:redhat:enterprise_linux:5, p-cpe:/a:redhat:enterprise_linux:httpd-devel, p-cpe:/a:redhat:enterprise_linux:jbossas-modules-eap, p-cpe:/a:redhat:enterprise_linux:hibernate4-entitymanager-eap6, p-cpe:/a:redhat:enterprise_linux:httpcomponents-core-eap6, p-cpe:/a:redhat:enterprise_linux:jbossas-welcome-content-eap, p-cpe:/a:redhat:enterprise_linux:sun-xsom, p-cpe:/a:redhat:enterprise_linux:weld-core, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller, p-cpe:/a:redhat:enterprise_linux:ws-commons-neethi, p-cpe:/a:redhat:enterprise_linux:httpcore-eap6, p-cpe:/a:redhat:enterprise_linux:joda-time-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-metadata-ejb, p-cpe:/a:redhat:enterprise_linux:sun-istack-commons, p-cpe:/a:redhat:enterprise_linux:codehaus-jackson-mapper-asl, p-cpe:/a:redhat:enterprise_linux:jboss-as-threads, p-cpe:/a:redhat:enterprise_linux:jettison-eap6, p-cpe:/a:redhat:enterprise_linux:slf4j, p-cpe:/a:redhat:enterprise_linux:jdom-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-jms-api_1.1_spec, p-cpe:/a:redhat:enterprise_linux:jbossws-native, p-cpe:/a:redhat:enterprise_linux:hibernate4-eap6, p-cpe:/a:redhat:enterprise_linux:ironjacamar-jdbc-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-management, p-cpe:/a:redhat:enterprise_linux:jboss-transaction-api_1.1_spec, p-cpe:/a:redhat:enterprise_linux:hibernate4-envers-eap6, p-cpe:/a:redhat:enterprise_linux:guava-libraries, p-cpe:/a:redhat:enterprise_linux:sun-saaj-1.3-impl, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee, p-cpe:/a:redhat:enterprise_linux:jboss-saaj-api_1.3_spec, p-cpe:/a:redhat:enterprise_linux:jbossas-javadocs, p-cpe:/a:redhat:enterprise_linux:gnu-getopt-eap6, p-cpe:/a:redhat:enterprise_linux:apache-commons-beanutils-eap6, p-cpe:/a:redhat:enterprise_linux:ironjacamar-spec-api-eap6, p-cpe:/a:redhat:enterprise_linux:ironjacamar-core-impl-eap6, p-cpe:/a:redhat:enterprise_linux:ironjacamar-validator-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-as-cmp, p-cpe:/a:redhat:enterprise_linux:jboss-as-security, p-cpe:/a:redhat:enterprise_linux:jboss-jstl-api_1.2_spec, p-cpe:/a:redhat:enterprise_linux:apache-commons-cli-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-as-sar, p-cpe:/a:redhat:enterprise_linux:apache-commons-daemon-jsvc-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-service, p-cpe:/a:redhat:enterprise_linux:jboss-genericjms, p-cpe:/a:redhat:enterprise_linux:jboss-as-jacorb, p-cpe:/a:redhat:enterprise_linux:httpcomponents-project-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-as-management-client-content, p-cpe:/a:redhat:enterprise_linux:codehaus-jackson-core-asl, p-cpe:/a:redhat:enterprise_linux:jboss-as-server, p-cpe:/a:redhat:enterprise_linux:jboss-as-console, p-cpe:/a:redhat:enterprise_linux:mod_cluster-native, p-cpe:/a:redhat:enterprise_linux:picketlink-federation, p-cpe:/a:redhat:enterprise_linux:jboss-as-logging, p-cpe:/a:redhat:enterprise_linux:jboss-hal, p-cpe:/a:redhat:enterprise_linux:jbossas-jbossweb-native, p-cpe:/a:redhat:enterprise_linux:jboss-as-picketlink, p-cpe:/a:redhat:enterprise_linux:apache-commons-collections-eap6, p-cpe:/a:redhat:enterprise_linux:mod_cluster, p-cpe:/a:redhat:enterprise_linux:jboss-as-version, p-cpe:/a:redhat:enterprise_linux:xmltooling, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-repository, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-scanner, p-cpe:/a:redhat:enterprise_linux:jboss-as-network, p-cpe:/a:redhat:enterprise_linux:jansi-eap6, p-cpe:/a:redhat:enterprise_linux:jython-eap6, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-api-eap6, p-cpe:/a:redhat:enterprise_linux:xom, p-cpe:/a:redhat:enterprise_linux:httpd-manual, p-cpe:/a:redhat:enterprise_linux:apache-mime4j, p-cpe:/a:redhat:enterprise_linux:infinispan-cachestore-remote, p-cpe:/a:redhat:enterprise_linux:httpcomponents-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-vfs2, p-cpe:/a:redhat:enterprise_linux:mod_snmp, p-cpe:/a:redhat:enterprise_linux:jandex-eap6, p-cpe:/a:redhat:enterprise_linux:slf4j-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-as-host-controller, p-cpe:/a:redhat:enterprise_linux:jboss-transaction-spi, p-cpe:/a:redhat:enterprise_linux:jboss-metadata-web, p-cpe:/a:redhat:enterprise_linux:jbossas-product-eap, p-cpe:/a:redhat:enterprise_linux:jboss-security-negotiation, p-cpe:/a:redhat:enterprise_linux:woodstox-stax2-api-eap6, p-cpe:/a:redhat:enterprise_linux:sun-txw2, p-cpe:/a:redhat:enterprise_linux:apache-commons-codec-eap6, p-cpe:/a:redhat:enterprise_linux:woodstox-core-eap6, p-cpe:/a:redhat:enterprise_linux:slf4j-jboss-logmanager, p-cpe:/a:redhat:enterprise_linux:opensaml, p-cpe:/a:redhat:enterprise_linux:jboss-as-jmx, p-cpe:/a:redhat:enterprise_linux:hornetq-native, p-cpe:/a:redhat:enterprise_linux:httpd-tools, p-cpe:/a:redhat:enterprise_linux:hornetq, p-cpe:/a:redhat:enterprise_linux:infinispan-client-hotrod, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-spi-eap6, p-cpe:/a:redhat:enterprise_linux:apache-commons-configuration-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-as-cli, p-cpe:/a:redhat:enterprise_linux:jboss-metadata-common, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:jbossws-common, p-cpe:/a:redhat:enterprise_linux:sun-codemodel, p-cpe:/a:redhat:enterprise_linux:apache-commons-io-eap6, p-cpe:/a:redhat:enterprise_linux:netty, p-cpe:/a:redhat:enterprise_linux:resteasy, p-cpe:/a:redhat:enterprise_linux:mod_jk-ap22, p-cpe:/a:redhat:enterprise_linux:ironjacamar-eap6, p-cpe:/a:redhat:enterprise_linux:jbossas-domain, p-cpe:/a:redhat:enterprise_linux:jboss-as-web, p-cpe:/a:redhat:enterprise_linux:openws, p-cpe:/a:redhat:enterprise_linux:jboss-sasl, p-cpe:/a:redhat:enterprise_linux:jboss-as-modcluster, p-cpe:/a:redhat:enterprise_linux:ironjacamar-core-api-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-as-connector, p-cpe:/a:redhat:enterprise_linux:jbossas-bundles, p-cpe:/a:redhat:enterprise_linux:codehaus-jackson-xc, p-cpe:/a:redhat:enterprise_linux:mod_jk, p-cpe:/a:redhat:enterprise_linux:httpd, p-cpe:/a:redhat:enterprise_linux:jboss-marshalling, p-cpe:/a:redhat:enterprise_linux:codehaus-jackson, p-cpe:/a:redhat:enterprise_linux:jbossas-standalone, p-cpe:/a:redhat:enterprise_linux:mod_rt, p-cpe:/a:redhat:enterprise_linux:jboss-as-process-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee-deployment, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:wsdl4j-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-as-naming, p-cpe:/a:redhat:enterprise_linux:jboss-as-platform-mbean, p-cpe:/a:redhat:enterprise_linux:jboss-remoting3, p-cpe:/a:redhat:enterprise_linux:ironjacamar-deployers-common-eap6, p-cpe:/a:redhat:enterprise_linux:jbossas-core, p-cpe:/a:redhat:enterprise_linux:httpmime-eap6, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jboss-as-xts, p-cpe:/a:redhat:enterprise_linux:jboss-as-transactions, p-cpe:/a:redhat:enterprise_linux:jboss-as-webservices, p-cpe:/a:redhat:enterprise_linux:jboss-as-core-security, p-cpe:/a:redhat:enterprise_linux:h2database, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-impl-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsr77, p-cpe:/a:redhat:enterprise_linux:hibernate4-core-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-http, p-cpe:/a:redhat:enterprise_linux:jbossas-appclient, p-cpe:/a:redhat:enterprise_linux:jboss-as-embedded, p-cpe:/a:redhat:enterprise_linux:infinispan, p-cpe:/a:redhat:enterprise_linux:jboss-as-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-as-jpa, p-cpe:/a:redhat:enterprise_linux:jboss-as-protocol, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller-client, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxr, p-cpe:/a:redhat:enterprise_linux:jboss-as-jdr, p-cpe:/a:redhat:enterprise_linux:jbossws-spi, p-cpe:/a:redhat:enterprise_linux:snakeyaml-eap6, p-cpe:/a:redhat:enterprise_linux:mod_ssl, p-cpe:/a:redhat:enterprise_linux:hibernate4-infinispan-eap6, p-cpe:/a:redhat:enterprise_linux:ecj-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsf, p-cpe:/a:redhat:enterprise_linux:httpclient-eap6, p-cpe:/a:redhat:enterprise_linux:scannotation, p-cpe:/a:redhat:enterprise_linux:infinispan-cachestore-jdbc, p-cpe:/a:redhat:enterprise_linux:codehaus-jackson-jaxrs, p-cpe:/a:redhat:enterprise_linux:jboss-msc, p-cpe:/a:redhat:enterprise_linux:jbossas-hornetq-native, p-cpe:/a:redhat:enterprise_linux:jboss-jaxws-api_2.2_spec, p-cpe:/a:redhat:enterprise_linux:jboss-as-pojo, p-cpe:/a:redhat:enterprise_linux:cal10n-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-as-mail, p-cpe:/a:redhat:enterprise_linux:jboss-metadata-appclient, p-cpe:/a:redhat:enterprise_linux:hibernate4-validator, p-cpe:/a:redhat:enterprise_linux:jaxen-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-as-ejb3, p-cpe:/a:redhat:enterprise_linux:jboss-as-system-jmx, p-cpe:/a:redhat:enterprise_linux:jboss-metadata
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2014/8/6
参照情報
CVE: CVE-2014-0118, CVE-2014-0193, CVE-2014-0226, CVE-2014-0227, CVE-2014-0231, CVE-2014-3464, CVE-2014-3472