检测

RHEL 6:Red Hat JBoss Core Services (RHSA-2017:2710)

critical Nessus 插件 ID 103241

语言:

简介

远程 Red Hat 主机缺少一个或多个适用于 Red Hat JBoss Core Services 的安全更新。

描述

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2017:2710 公告中提及的多个漏洞的影响。

 Red Hat JBoss Core Services 是 Red Hat JBoss 中间件产品的一套辅助软件。此软件,例如 Apache HTTP Server,对多个 JBoss 中间件产品通用,并在 Red Hat JBoss Core Services 下打包,以允许更快速的更新分发,并提供更一致的更新体验。

 此 Red Hat JBoss Core Services Apache HTTP Server 2.4.23 Service Pack 2 版本为 Red Hat JBoss Core Services Apache HTTP Server 2.4.23 Service Pack 1 版本的更新,并包含多项漏洞补丁,详情请参阅“参考”部分中链接的版本说明文档。

 安全修复:

 * 已发现 httpd 的 mod_auth_digest 模块在处理某些与摘要认证相关的特定标头时,使用内存前未正确初始化内存。远程攻击者可利用此缺陷,通过向服务器发送特制的请求,披露潜在敏感信息,或者导致 httpd 子进程崩溃。(CVE-2017-9788)

 * 已发现在 httpd 2.4 中,内部 API 函数 ap_some_auth_required() 可能在未使用认证的情况下错误地指出请求已认证。使用此 API 函数的 httpd 模块可因此允许本应拒绝的访问。(CVE-2015-3185)

 * 在 TLS /SSL 协议使用 DES/3DES 加密的方式中发现缺陷。如果通信采用基于 DES/3DES 的密码套件,中间人攻击者可利用此缺陷,通过捕获 TLS/SSL 服务器和客户端之间大量的加密流量,恢复一些纯文本数据。
 (CVE-2016-2183)

 Red Hat 在此感谢 OpenVPN 报告 CVE-2016-2183。上游感谢 Karthikeyan Bhargavan (Inria) 和 Gatan Leurent (Inria) 为 CVE-2016-2183的原始报告者。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

根据 RHSA-2017:2710中的指南更新 RHEL Red Hat JBoss Core Services 程序包。

另见

http://www.nessus.org/u?1b06be7c

http://www.nessus.org/u?75d9eb14

https://access.redhat.com/errata/RHSA-2017:2710

https://access.redhat.com/security/updates/classification/#important

https://bugzilla.redhat.com/show_bug.cgi?id=1243888

https://bugzilla.redhat.com/show_bug.cgi?id=1369383

https://bugzilla.redhat.com/show_bug.cgi?id=1470748

https://issues.redhat.com/browse/JBCS-329

https://issues.redhat.com/browse/JBCS-337

插件详情

严重性: Critical

ID: 103241

文件名: redhat-RHSA-2017-2710.nasl

版本: 3.11

类型: local

代理: unix

发布时间: 2017/9/15

最近更新时间: 2025/4/15

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.1

Vendor

Vendor Severity: Important

CVSS v2

风险因素: Medium

基本分数: 6.4

时间分数: 5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:P

CVSS 分数来源: CVE-2017-9788

CVSS v3

风险因素: Critical

基本分数: 9.1

时间分数: 8.2

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_proxy_html, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-devel, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_ldap, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-selinux, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-libs, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_ssl, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-manual, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-tools, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-static, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-libs, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-devel, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-perl, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_session

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2017/9/13

漏洞发布日期: 2015/7/20

参考资料信息

CVE: CVE-2015-3185, CVE-2016-2183, CVE-2017-9788

CWE: 287, 327, 456

RHSA: 2017:2710