検出

RHEL 5/6:JBoss Web Server(RHSA-2015:1622)

high Nessus プラグイン ID 85441

Language:

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

2 つのセキュリティ問題を修正する更新済みの tomcat6 および tomcat7 のパッケージが、Red Hat Enterprise Linux 5、6 および 7 の Red Hat JBoss Web Server 2.1.0 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

Red Hat JBoss Web Server は、Java Web アプリケーションをホスティングするコンポーネント全体の統合認定セットです。Apache HTTP Server、 Apache Tomcat サーブレットコンテナ、Apache Tomcat コネクタ(mod_jk)、JBoss HTTP コネクタ(mod_cluster)、Hibernate、 Tomcat Native ライブラリで構成されます。

表現言語リゾルバーが権限のあるコードセクション内で表現を評価していたことが見つかりました。悪意のある Web アプリケーションがこの欠陥を利用し、セキュリティマネージャー保護をバイパスする可能性があります。(CVE-2014-7810)

十分に大きなリクエスト本文をもつリクエストを処理後、Tomcat が接続を開いたままにすることがわかりました。リモートの攻撃者がこの欠陥を利用して利用可能な接続のプールを使い果たし、これから確立される Tomcat サーバーへのさらなる正当な接続を妨げる可能性があります。(CVE-2014-0230)

Red Hat カスタマーポータルで提供された Red Hat JBoss Web Server 2.1.0 の全ユーザーは、この更新を適用することが推奨されます。この更新を有効にするには、Red Hat JBoss Web Server プロセスを再起動する必要があります。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2015:1622

https://access.redhat.com/security/cve/cve-2014-0230

https://access.redhat.com/security/cve/cve-2014-7810

プラグインの詳細

深刻度: High

ID: 85441

ファイル名: redhat-RHSA-2015-1622.nasl

バージョン: 2.17

タイプ: local

エージェント: unix

公開日: 2015/8/17

更新日: 2019/10/24

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 5.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:tomcat6, p-cpe:/a:redhat:enterprise_linux:tomcat6-admin-webapps, p-cpe:/a:redhat:enterprise_linux:tomcat6-docs-webapp, p-cpe:/a:redhat:enterprise_linux:tomcat6-el-2.1-api, p-cpe:/a:redhat:enterprise_linux:tomcat6-javadoc, p-cpe:/a:redhat:enterprise_linux:tomcat6-jsp-2.1-api, p-cpe:/a:redhat:enterprise_linux:tomcat6-lib, p-cpe:/a:redhat:enterprise_linux:tomcat6-log4j, p-cpe:/a:redhat:enterprise_linux:tomcat6-maven-devel, p-cpe:/a:redhat:enterprise_linux:tomcat6-servlet-2.5-api, p-cpe:/a:redhat:enterprise_linux:tomcat6-webapps, p-cpe:/a:redhat:enterprise_linux:tomcat7, p-cpe:/a:redhat:enterprise_linux:tomcat7-admin-webapps, p-cpe:/a:redhat:enterprise_linux:tomcat7-docs-webapp, p-cpe:/a:redhat:enterprise_linux:tomcat7-el-2.2-api, p-cpe:/a:redhat:enterprise_linux:tomcat7-javadoc, p-cpe:/a:redhat:enterprise_linux:tomcat7-jsp-2.2-api, p-cpe:/a:redhat:enterprise_linux:tomcat7-lib, p-cpe:/a:redhat:enterprise_linux:tomcat7-log4j, p-cpe:/a:redhat:enterprise_linux:tomcat7-maven-devel, p-cpe:/a:redhat:enterprise_linux:tomcat7-servlet-3.0-api, p-cpe:/a:redhat:enterprise_linux:tomcat7-webapps, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:6, cpe:/o:redhat:enterprise_linux:7

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2015/8/13

脆弱性公開日: 2015/6/7

参照情報

CVE: CVE-2014-0230, CVE-2014-7810

RHSA: 2015:1622