RHEL 5/6:JBoss Web Server(RHSA-2012:0682)
high Nessus プラグイン ID 78925
Language:
概要
リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。説明
複数のセキュリティ問題と 3 つのバグを修正する更新済みの tomcat6 パッケージが、Red Hat Enterprise Linux 5 および 6 用の JBoss Enterprise Web Server 1.0.2 で現在利用可能です。Red Hat セキュリティレスポンスチームは、この更新のセキュリティ上の影響は中程度であると評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。
Apache Tomcat はサーブレットコンテナです。
JBoss Enterprise Web Server には Tomcat Native ライブラリが含まれており、Tomcat に対する Apache Portable Runtime(APR)サポートを提供します。このテキストの APR に対するリファレンスは、Tomcat Native インプリメンテーションを参照し、その他の apr パッケージは参照しません。
この更新では、JBPAPP-4873、JBPAPP-6133、および JBPAPP-6852 のバグを修正します。
また、以下のセキュリティ問題を解決します:
複数の欠陥は Tomcat HTTP DIGEST 認証実装を弱体化し、リモートの攻撃者によるセッションリプレイ攻撃を可能にするなど、いくつかの HTTP BASIC 認証の弱点に陥りやすくします。(CVE-2011-1184、CVE-2011-5062、CVE-2011-5063、 CVE-2011-5064)
Coyote(org.apache.coyote.ajp.AjpProcessor)および APR(org.apache.coyote.ajp.AjpAprProcessor)Tomcat AJP(Apache JServ Protocol)コネクタが特定の POST リクエストを処理する方法で、欠陥が見つかりました。攻撃者が特別に細工されたリクエストを送信して、コネクタにメッセージ本文を新しいリクエストとして処理させる可能性があります。この結果、任意の AJP メッセージを注入することができるようになり、攻撃者が Web アプリケーションの認証チェックをバイパスして、他の方法ではアクセスできなかった情報にアクセスする可能性があります。APR ライブラリが存在しない場合、デフォルトで JK (org.apache.jk.server.JkCoyoteHandler)コネクタが使用されます。JK コネクタはこの欠陥の影響を受けません。(CVE-2011-3190)
特定のエラーが発生したときに Tomcat がユーザーリクエストからのデータ(IP アドレスや HTTP ヘッダーなど)が含まれたオブジェクトをリサイクルする方法での欠陥。ユーザーが送信したリクエストによってエラーのログが取られた場合、Tomcat は(異なるユーザーが送信した可能性がある)次のリクエストに最初のユーザーのリクエストからのデータを付けて返信を返していました。これは、情報漏洩につながりました。特定の状況下で、リモートの攻撃者がこの欠陥を利用して、セッションをハイジャックする可能性があります。(CVE-2011-3375)
Java hashCode() メソッドの実装は、予測可能なハッシュ競合の影響を受けやすいでした。リモートの攻撃者は、この欠陥を利用して、名前をマップすると同じハッシュ値になるパラメーターが多数ある HTTP リクエストを送信することで、Tomcat がCPU 時間を過剰に使う原因となることがあります。この問題を緩和するために、この更新では、リクエストごとに処理されるパラメーターの数に制限を設けています。デフォルトでは、パラメーターに対して 512、ヘッダーに対して 128 を制限値に設定しています。これらのデフォルトは、org.apache.tomcat.util.http.Parameters.MAX_COUNT および org.apache.tomcat.util.http.MimeHeaders.MAX_COUNT のシステムプロパティを設定することで変更できます。
(CVE-2011-4858)
Tomcat は、多数のパラメーターや大きなパラメーター値を効率的に処理しませんでした。リモートの攻撃者は、多数のパラメーターや大きなパラメーター値を含む HTTP リクエストを送信し、 Tomcat に CPU 時間を過剰に使わせることが可能です。この問題に対処するために、この更新では、リクエストごとに処理するパラメーターとヘッダーの数に制限を設けています。org.apache.tomcat.util.http.Parameters.MAX_COUNT および org.apache.tomcat.util.http.MimeHeaders.MAX_COUNT のシステムプロパティの詳細については、CVE-2011-4858 の説明を参照してください。
(CVE-2012-0022)
Tomcat MemoryUserDatabase の欠陥。JMX クライアントを用いて新規ユーザーを作成する際にランタイム例外が発生した場合、ユーザーのパスワードが Tomcat ログファイルに記録されます。注:デフォルトでは、管理者のみがこのようなログファイルにアクセスできます。(CVE-2011-2204)
HTTP APR コネクタまたは NIO(Non-Blocking I/O)コネクタを利用している場合に、Tomcat が sendfile リクエスト属性を処理する方法での欠陥。Tomcat インスタンス上で動作中の悪意ある Web アプリケーションがこの欠陥を利用することにより、セキュリティマネージャーの制限をバイパスして、他の方法ではアクセスできなかったファイルにアクセスしたり、Java Virtual Machine (JVM)を終了させたりする可能性があります。JBoss Enterprise Web Server ではデフォルトで HTTP NIO コネクタが使用されています。(CVE-2011-2526)
Red Hat は oCERT および Apache Tomcat プロジェクトに対して、CVE-2011-4858 および CVE-2011-2526 をそれぞれ報告したことに感謝の意を表します。oCERT は、Julian Wälde 氏および Alexander Klink 氏を CVE-2011-4858 の最初の報告者として承認します。
ソリューション
影響を受けるパッケージを更新してください。参考資料
http://tomcat.apache.org/security-6.html
https://issues.jboss.org/browse/JBPAPP-4873?_sscc=t
https://issues.jboss.org/browse/JBPAPP-6133?_sscc=t
https://issues.jboss.org/browse/JBPAPP-6852?_sscc=t
https://access.redhat.com/errata/RHSA-2012:0682
https://access.redhat.com/security/cve/cve-2011-2526
https://access.redhat.com/security/cve/cve-2011-3190
https://access.redhat.com/security/cve/cve-2011-1184
https://access.redhat.com/security/cve/cve-2011-2204
https://access.redhat.com/security/cve/cve-2011-5062
https://access.redhat.com/security/cve/cve-2011-5063
https://access.redhat.com/security/cve/cve-2011-5064
https://access.redhat.com/security/cve/cve-2011-4858
プラグインの詳細
深刻度: High
ID: 78925
ファイル名: redhat-RHSA-2012-0682.nasl
バージョン: 1.12
タイプ: local
エージェント: unix
公開日: 2014/11/8
更新日: 2021/1/14
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.8
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:tomcat6, p-cpe:/a:redhat:enterprise_linux:tomcat6-admin-webapps, p-cpe:/a:redhat:enterprise_linux:tomcat6-docs-webapp, p-cpe:/a:redhat:enterprise_linux:tomcat6-el-1.0-api, p-cpe:/a:redhat:enterprise_linux:tomcat6-javadoc, p-cpe:/a:redhat:enterprise_linux:tomcat6-jsp-2.1-api, p-cpe:/a:redhat:enterprise_linux:tomcat6-lib, p-cpe:/a:redhat:enterprise_linux:tomcat6-log4j, p-cpe:/a:redhat:enterprise_linux:tomcat6-servlet-2.5-api, p-cpe:/a:redhat:enterprise_linux:tomcat6-webapps, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:6
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2012/5/21
脆弱性公開日: 2011/6/29
参照情報
CVE: CVE-2011-1184, CVE-2011-2204, CVE-2011-2526, CVE-2011-3190, CVE-2011-3375, CVE-2011-4858, CVE-2011-5062, CVE-2011-5063, CVE-2011-5064, CVE-2012-0022
BID: 48456, 48667, 49353, 49762, 51200, 51442, 51447
RHSA: 2012:0682