RHEL 5/6:JBoss Web Server(RHSA-2012:0680)

high Nessus プラグイン ID 78924

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

複数のセキュリティ問題と 2 つのバグを修正する更新済みの tomcat5 パッケージが、Red Hat Enterprise Linux 5 および 6 用の JBoss Enterprise Web Server 1.0.2 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新のセキュリティ上の影響は中程度であると評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

Apache Tomcat は、Java サーブレットおよび JavaServer Pages(JSP)技術のサーブレットコンテナです。

JBoss Enterprise Web Server には Tomcat Native ライブラリが含まれており、Tomcat に対する Apache Portable Runtime(APR)サポートを提供します。このテキストの APR に対するリファレンスは、Tomcat Native インプリメンテーションを参照し、その他の apr パッケージは参照しません。

この更新には、JBPAPP-4873 および JBPAPP-6133 に記載されているバグ修正が含まれています。また、以下のセキュリティ問題を解決します:

Tomcat が HTTP DIGEST 認証を処理する方法で、複数の欠陥が見つかりました。この欠陥は Tomcat HTTP DIGEST 認証実装を弱体化し、リモートの攻撃者によるセッションリプレイ攻撃を可能にするなど、いくつかの HTTP BASIC 認証の弱点に陥りやすくします。(CVE-2011-1184、CVE-2011-5062、CVE-2011-5063、 CVE-2011-5064)

Coyote(org.apache.coyote.ajp.AjpProcessor)および APR(org.apache.coyote.ajp.AjpAprProcessor)Tomcat AJP(Apache JServ Protocol)コネクタが特定の POST リクエストを処理する方法で、欠陥が見つかりました。攻撃者が特別に細工されたリクエストを送信して、コネクタにメッセージ本文を新しいリクエストとして処理させる可能性があります。この結果、任意の AJP メッセージを注入することができるようになり、攻撃者が Web アプリケーションの認証チェックをバイパスして、他の方法ではアクセスできなかった情報にアクセスする可能性があります。APR ライブラリが存在しない場合、デフォルトで JK (org.apache.jk.server.JkCoyoteHandler)コネクタが使用されます。JK コネクタはこの欠陥の影響を受けません。(CVE-2011-3190)

Java hashCode() メソッドの実装は、予測可能なハッシュ競合の影響を受けやすいことが判明しました。リモートの攻撃者は、この欠陥を利用して、名前をマップすると同じハッシュ値になるパラメーターが多数ある HTTP リクエストを送信することで、Tomcat がCPU 時間を過剰に使う原因となることがあります。この問題を緩和するために、この更新では、リクエストごとに処理されるパラメーターの数に制限を設けています。
デフォルトでは、パラメーターに対して 512、ヘッダーに対して 128 を制限値に設定しています。これらのデフォルトは、org.apache.tomcat.util.http.Parameters.MAX_COUNT および org.apache.tomcat.util.http.MimeHeaders.MAX_COUNT のシステムプロパティを設定することで変更できます。
(CVE-2011-4858)

Tomcat は、多数のパラメーターや大きなパラメーター値を効率的に処理しないことが判明しました。リモートの攻撃者は、多数のパラメーターや大きなパラメーター値を含む HTTP リクエストを送信し、 Tomcat に CPU 時間を過剰に使わせることが可能です。
この問題に対処するために、この更新では、リクエストごとに処理するパラメーターとヘッダーの数に制限を設けています。org.apache.tomcat.util.http.Parameters.MAX_COUNT および org.apache.tomcat.util.http.MimeHeaders.MAX_COUNT のシステムプロパティの詳細については、CVE-2011-4858 の説明を参照してください。
(CVE-2012-0022)

Tomcat MemoryUserDatabase で欠陥が見つりました。JMX クライアントを用いて新規ユーザーを作成する際にランタイム例外が発生した場合、ユーザーのパスワードが Tomcat ログファイルに記録されます。注:デフォルトでは、管理者のみがこのようなログファイルにアクセスできます。(CVE-2011-2204)

HTTP APR コネクタまたは NIO(Non-Blocking I/O)コネクタを利用している場合に、 Tomcat が sendfile リクエスト属性を処理する方法で欠陥が見つかりました。Tomcat インスタンス上で動作中の悪意ある Web アプリケーションがこの欠陥を利用することにより、セキュリティマネージャーの制限をバイパスして、他の方法ではアクセスできなかったファイルにアクセスしたり、Java Virtual Machine (JVM)を終了させたりする可能性があります。JBoss Enterprise Web Server ではデフォルトで HTTP NIO コネクタが使用されています。(CVE-2011-2526)

Red Hat は oCERT および Apache Tomcat プロジェクトに対して、CVE-2011-4858 および CVE-2011-2526 をそれぞれ報告したことに感謝の意を表します。oCERT は、Julian Wälde 氏および Alexander Klink 氏を CVE-2011-4858 の最初の報告者として承認します。

Tomcat のユーザーは、これらの更新済みパッケージへアップグレードし、これらの問題を解決する必要があります。この更新を有効にするには、Tomcat を再起動する必要があります。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://tomcat.apache.org/security-5.html

https://issues.jboss.org/browse/JBPAPP-4873?_sscc=t

https://issues.jboss.org/browse/JBPAPP-6133?_sscc=t

https://access.redhat.com/errata/RHSA-2012:0680

https://access.redhat.com/security/cve/cve-2011-2526

https://access.redhat.com/security/cve/cve-2011-3190

https://access.redhat.com/security/cve/cve-2011-1184

https://access.redhat.com/security/cve/cve-2011-2204

https://access.redhat.com/security/cve/cve-2011-5062

https://access.redhat.com/security/cve/cve-2011-5063

https://access.redhat.com/security/cve/cve-2011-5064

https://access.redhat.com/security/cve/cve-2011-4858

https://access.redhat.com/security/cve/cve-2012-0022

プラグインの詳細

深刻度: High

ID: 78924

ファイル名: redhat-RHSA-2012-0680.nasl

バージョン: 1.12

タイプ: local

エージェント: unix

公開日: 2014/11/8

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.8

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:tomcat5, p-cpe:/a:redhat:enterprise_linux:tomcat5-admin-webapps, p-cpe:/a:redhat:enterprise_linux:tomcat5-common-lib, p-cpe:/a:redhat:enterprise_linux:tomcat5-jasper, p-cpe:/a:redhat:enterprise_linux:tomcat5-jasper-eclipse, p-cpe:/a:redhat:enterprise_linux:tomcat5-jasper-javadoc, p-cpe:/a:redhat:enterprise_linux:tomcat5-jsp-2.0-api, p-cpe:/a:redhat:enterprise_linux:tomcat5-jsp-2.0-api-javadoc, p-cpe:/a:redhat:enterprise_linux:tomcat5-parent, p-cpe:/a:redhat:enterprise_linux:tomcat5-server-lib, p-cpe:/a:redhat:enterprise_linux:tomcat5-servlet-2.4-api, p-cpe:/a:redhat:enterprise_linux:tomcat5-servlet-2.4-api-javadoc, p-cpe:/a:redhat:enterprise_linux:tomcat5-webapps, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:6

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2012/5/21

脆弱性公開日: 2011/6/29

参照情報

CVE: CVE-2011-1184, CVE-2011-2204, CVE-2011-2526, CVE-2011-3190, CVE-2011-4858, CVE-2011-5062, CVE-2011-5063, CVE-2011-5064, CVE-2012-0022

BID: 48456, 48667, 49353, 49762, 51200, 51447

RHSA: 2012:0680