RHEL 5 / 6 / 7:JBoss EAP(RHSA-2015:2536)
critical Nessus プラグイン ID 87191
Language:
概要
リモート Red Hat ホストにセキュリティ更新がありません。説明
1 つのセキュリティの問題を修正する Red Hat JBoss Enterprise Application Platform 6.3 向け Apache commons-collections ライブラリ用の更新済みパッケージが、Red Hat Enterprise Linux 5、6 および 7 で現在利用可能です。Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要として評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。
Red Hat JBoss Enterprise Application Platform 6 は、JBoss Application Server 7 をベースにした Java アプリケーション用のプラットフォームです。
特別に構成された意一連のクラスを含むオブジェクトの逆シリアル化時に、 Apache commons コレクションライブラリがコードの実行を許可していたことが分かりました。リモートの攻撃者がこの欠陥を悪用し、 commons コレクションライブラリを使用するアプリケーションの権限で任意のコードを実行する恐れがあります。(CVE-2015-7501)
このセキュリティ欠陥の詳細については、以下を参照してください:
https://access.redhat.com/solutions/2045023
Red Hat Enterprise Linux 6 での Red Hat JBoss Enterprise Application Platform 6.3 のすべてのユーザーには、これらの更新済みパッケージにアップグレードすることを推奨します。この更新を有効にするには、 JBoss サーバープロセスを再起動する必要があります。
ソリューション
影響を受けた apache-commons-collections-eap6 パッケージを更新してください。参考資料
https://access.redhat.com/solutions/2045023
プラグインの詳細
深刻度: Critical
ID: 87191
ファイル名: redhat-RHSA-2015-2536.nasl
バージョン: 2.21
タイプ: local
エージェント: unix
公開日: 2015/12/4
更新日: 2019/10/24
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.4
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 8.3
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 9.1
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:apache-commons-collections-eap6, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:6, cpe:/o:redhat:enterprise_linux:7
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2015/12/1
脆弱性公開日: 2017/11/9
エクスプロイト可能
CANVAS (CANVAS)
参照情報
CVE: CVE-2015-7501
RHSA: 2015:2536