RHEL 6:jasperreports-server-pro(RHSA-2014:0037)

medium Nessus プラグイン ID 78992

概要

リモート Red Hat ホストにセキュリティ更新がありません。

説明

2 つのセキュリティの問題といくつかのバグを修正し、様々な拡張機能を追加する、更新済みの jasperreports-server-pro パッケージが現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新のセキュリティ上の影響は中程度であると評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

Red Hat Enterprise Virtualization レポートパッケージは、事前に構成されたレポートと、システムを監視することができるダッシュボードのパッケージを提供します。このレポートモジュールは JasperReports および JasperServer に基づいており、アドホックレポートの作成に使用することもできます。

Apache Axis は、サーバーホスト名が、 X.509 証明書において対象の Common Name(CN)または subjectAltName フィールドのドメイン名と一致しているかを検証していませんでした。これにより、すべてのドメイン名に有効であった証明書を所有していた場合、中間者攻撃は SSL サーバーの偽装を行うことができます。(CVE-2012-5784)

Apache Hadoop RPC プロトコルに欠陥が見つかりました。中間者攻撃者がこの欠陥を利用して、クライアントとサーバー間での双方向認証を一方的に無効にし、単純な(単方向)認証へダウングレードさせる可能性があります。この欠陥が影響するのは、Hadoop の Kerberos セキュリティ機能を有効にしているユーザーのみです。(CVE-2013-2192)

この更新では、いくつかのバグが修正され、複数の拡張機能が追加されます。
これらの変更に関するドキュメントは、「参照」セクションでリンクされているテクニカルノートドキュメントから、間もなく入手できるようになります。

jasperreports-server-pro の全ユーザーは、バックポートされたパッチが含まれるこの更新済みパッケージへアップグレードし、これらの問題を修正し、これらの拡張機能を追加することが推奨されます。

ソリューション

影響を受ける jasperreports-server-pro パッケージを更新してください。

参考資料

https://access.redhat.com/documentation/en-US/

https://access.redhat.com/errata/RHSA-2014:0037

https://access.redhat.com/security/cve/cve-2012-5784

https://access.redhat.com/security/cve/cve-2013-2192

プラグインの詳細

深刻度: Medium

ID: 78992

ファイル名: redhat-RHSA-2014-0037.nasl

バージョン: 1.12

タイプ: local

エージェント: unix

公開日: 2014/11/8

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.0

CVSS v2

リスクファクター: Medium

基本値: 5.8

現状値: 4.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:jasperreports-server-pro, cpe:/o:redhat:enterprise_linux:6

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/1/21

脆弱性公開日: 2012/11/4

参照情報

CVE: CVE-2012-5784, CVE-2013-2192

BID: 56408, 61984

RHSA: 2014:0037