检测

插件

RHEL 7：Red Hat JBoss Enterprise Application Platform 6.4.4 更新（重要）(RHSA-2015:1906)

critical Nessus 插件 ID 112241

语言：

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2015:1906 公告中提及的多个漏洞的影响。

Red Hat JBoss Enterprise Application Platform 6 是适用于基于 JBoss Application Server 7 的 Java 应用程序的平台。

已发现向 Web 控制台发送包含大标头的请求时，会在 HTTP 管理接口中产生 Java OutOfMemoryError。
攻击者可利用此缺陷造成拒绝服务。
(CVE-2015-5220)

已发现可以在 IFRAME 中打开 EAP 管理控制台，通过这一点可以拦截并操纵请求。
攻击者可以利用此缺陷诱骗用户在控制台中执行任意操作（点击劫持）。(CVE-2015-5178)

注意：要解决此问题，需要对控制台中发送 http 请求的方式进行更改；此更改可能会影响用户。有关此更改的详细信息，请参阅链接到“参考”部分的版本说明。

已发现使用 multipart/form-data 提交向 EAP Web 控制台上传文件时，控制台易受跨站请求伪造 (CSRF) 的攻击。这意味着攻击者可以利用此缺陷，配合伪造攻击，对认证的实例进行更改。(CVE-2015-5188)

The CVE-2015-5220 问题是 Red Hat GSS 中间件团队的 Aaron Ogburn 发现的，CVE-2015-5188 问题是 Red Hat 中间件工程团队的 Jason Greene 发现的。

此版本可替换 Red Hat JBoss Enterprise Application Platform 6.4.3，并包含缺陷补丁和多项增强。
可从“参考”部分中的链接获取这些更改的相关文档。

建议 Red Hat Enterprise Linux 7 上的所有 Red Hat JBoss Enterprise Application Platform 6.4 用户都升级到这些更新后的程序包。
必须重新启动 JBoss 服务器进程才能使更新生效。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

http://www.nessus.org/u?3e5e15bc

http://www.nessus.org/u?ec52744e

https://access.redhat.com/errata/RHSA-2015:1906

https://access.redhat.com/security/updates/classification/#important

https://bugzilla.redhat.com/show_bug.cgi?id=1250552

https://bugzilla.redhat.com/show_bug.cgi?id=1252885

https://bugzilla.redhat.com/show_bug.cgi?id=1255597

https://bugzilla.redhat.com/show_bug.cgi?id=1256987

https://bugzilla.redhat.com/show_bug.cgi?id=1261576

https://bugzilla.redhat.com/show_bug.cgi?id=1261581

https://bugzilla.redhat.com/show_bug.cgi?id=1261585

https://bugzilla.redhat.com/show_bug.cgi?id=1261589

https://bugzilla.redhat.com/show_bug.cgi?id=1261600

https://bugzilla.redhat.com/show_bug.cgi?id=1261605

https://bugzilla.redhat.com/show_bug.cgi?id=1261620

https://bugzilla.redhat.com/show_bug.cgi?id=1261624

https://bugzilla.redhat.com/show_bug.cgi?id=1261627

https://bugzilla.redhat.com/show_bug.cgi?id=1261992

https://bugzilla.redhat.com/show_bug.cgi?id=1262023

https://bugzilla.redhat.com/show_bug.cgi?id=1263381

插件详情

严重性: Critical

ID: 112241

文件名: redhat-RHSA-2015-1906.nasl

版本: 1.7

类型: local

代理: unix

系列: Red Hat Local Security Checks

发布时间: 2018/9/4

最近更新时间: 2025/3/21

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

Vendor

Vendor Severity: Important

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2015-5188

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2015-5220

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:jbossws-cxf, p-cpe:/a:redhat:enterprise_linux:jboss-as-appclient, p-cpe:/a:redhat:enterprise_linux:apache-cxf, p-cpe:/a:redhat:enterprise_linux:jboss-as-client-all, p-cpe:/a:redhat:enterprise_linux:jboss-as-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-aesh, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-configadmin, p-cpe:/a:redhat:enterprise_linux:infinispan-core, p-cpe:/a:redhat:enterprise_linux:jboss-as-weld, p-cpe:/a:redhat:enterprise_linux:jboss-as-clustering, p-cpe:/a:redhat:enterprise_linux:jboss-as-configadmin, p-cpe:/a:redhat:enterprise_linux:httpserver, p-cpe:/a:redhat:enterprise_linux:jbossas-modules-eap, p-cpe:/a:redhat:enterprise_linux:jbossas-welcome-content-eap, p-cpe:/a:redhat:enterprise_linux:weld-core, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-threads, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-service, p-cpe:/a:redhat:enterprise_linux:jboss-as-jacorb, p-cpe:/a:redhat:enterprise_linux:jboss-as-management-client-content, p-cpe:/a:redhat:enterprise_linux:jboss-as-server, p-cpe:/a:redhat:enterprise_linux:jboss-as-console, p-cpe:/a:redhat:enterprise_linux:jboss-as-logging, p-cpe:/a:redhat:enterprise_linux:jboss-hal, p-cpe:/a:redhat:enterprise_linux:jboss-as-picketlink, p-cpe:/a:redhat:enterprise_linux:jboss-as-version, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-repository, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-scanner, p-cpe:/a:redhat:enterprise_linux:jboss-as-network, p-cpe:/a:redhat:enterprise_linux:infinispan-cachestore-remote, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxrs, p-cpe:/a:redhat:enterprise_linux:jboss-as-sar, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-management, p-cpe:/a:redhat:enterprise_linux:weld-cdi-1.0-api, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee, p-cpe:/a:redhat:enterprise_linux:jbossas-javadocs, p-cpe:/a:redhat:enterprise_linux:jboss-as-security, p-cpe:/a:redhat:enterprise_linux:jboss-as-cmp, p-cpe:/a:redhat:enterprise_linux:jboss-vfs2, p-cpe:/a:redhat:enterprise_linux:jboss-as-host-controller, p-cpe:/a:redhat:enterprise_linux:jbossas-product-eap, p-cpe:/a:redhat:enterprise_linux:jboss-security-negotiation, p-cpe:/a:redhat:enterprise_linux:jboss-as-jmx, p-cpe:/a:redhat:enterprise_linux:infinispan-client-hotrod, p-cpe:/a:redhat:enterprise_linux:jboss-as-cli, p-cpe:/a:redhat:enterprise_linux:jbossas-domain, p-cpe:/a:redhat:enterprise_linux:jboss-as-web, p-cpe:/a:redhat:enterprise_linux:jboss-as-modcluster, p-cpe:/a:redhat:enterprise_linux:jboss-as-connector, p-cpe:/a:redhat:enterprise_linux:jbossas-bundles, p-cpe:/a:redhat:enterprise_linux:jbossas-standalone, p-cpe:/a:redhat:enterprise_linux:jboss-as-process-controller, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee-deployment, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:jboss-as-naming, p-cpe:/a:redhat:enterprise_linux:jboss-as-platform-mbean, p-cpe:/a:redhat:enterprise_linux:jbossas-core, p-cpe:/a:redhat:enterprise_linux:jboss-as-xts, p-cpe:/a:redhat:enterprise_linux:jboss-as-transactions, p-cpe:/a:redhat:enterprise_linux:jboss-as-webservices, p-cpe:/a:redhat:enterprise_linux:jboss-as-core-security, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsr77, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-http, p-cpe:/a:redhat:enterprise_linux:jbossas-appclient, p-cpe:/a:redhat:enterprise_linux:jboss-as-embedded, p-cpe:/a:redhat:enterprise_linux:infinispan, p-cpe:/a:redhat:enterprise_linux:jboss-as-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-as-jpa, p-cpe:/a:redhat:enterprise_linux:jboss-as-protocol, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller-client, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxr, p-cpe:/a:redhat:enterprise_linux:jboss-as-jdr, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsf, p-cpe:/a:redhat:enterprise_linux:infinispan-cachestore-jdbc, p-cpe:/a:redhat:enterprise_linux:jboss-weld-1.1-api, p-cpe:/a:redhat:enterprise_linux:jboss-as-pojo, p-cpe:/a:redhat:enterprise_linux:jboss-as-mail, p-cpe:/a:redhat:enterprise_linux:jboss-as-ejb3, p-cpe:/a:redhat:enterprise_linux:jboss-as-system-jmx

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2015/10/15

漏洞发布日期: 2015/10/27

参考资料信息

CVE: CVE-2015-5178, CVE-2015-5188, CVE-2015-5220

CWE: 20, 352, 770

RHSA: 2015:1906