检测

插件

RHEL 5：JBoss Enterprise Web Platform 5.1.2 更新（低危）(RHSA-2011:1803)

medium Nessus 插件 ID 210143

语言：

简介

远程 Red Hat 主机缺少安全更新。

描述

远程 Redhat Enterprise Linux 5 主机上安装的程序包受到 RHSA-2011:1803 公告中提及的漏洞影响。

Enterprise Web Platform 是 JBoss Enterprise Application Platform 的精简配置文件，适用于具有轻型、富 Java 应用程序的中型工作负载。OpenID4Java 允许您在 Java 应用程序中实现 OpenID 认证。OpenID4Java 为技术预览。

适用于 Red Hat Enterprise Linux 5 的此版 JBoss Enterprise Web Platform 5.1.2 可替代 JBoss Enterprise Web Platform 5.1.1。

这些更新后的程序包中包含缺陷补丁和增强。JBoss Enterprise Web Platform 是 JBoss Enterprise Application Platform 的子集。有关这些最重要的变更的信息，用户可参阅 JBoss Enterprise Application Platform 5.1.2 发行说明。很快将可通过 https://docs.redhat.com/docs/en-US/index.html 获得发行说明

此版本还修复了以下安全问题：

已发现未检查 OpenID4Java 的属性交换 (AX) 扩展，以确保属性已签名。如果 AX 用于接收应用程序仅信任身份提供程序所断言的信息，远程攻击者可利用此缺陷通过特别构建的请求执行中间人攻击并破坏信息的完整性。默认情况下，仅 JBoss Seam openid 示例应用程序使用 OpenID4Java。(CVE-2011-4314)

警告：应用此更新之前，请备份 JBoss Enterprise Web Platform 的 jboss-as-web/server/[PROFILE]/deploy/ 目录及任何其他自定义配置文件。

建议 Red Hat Enterprise Linux 5 上 JBoss Enterprise Web Platform 5.1.1 的所有用户都升级这些更新后的程序包。必须重新启动 JBoss 服务器进程才能使更新生效。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://access.redhat.com/security/updates/classification/#low

https://docs.redhat.com/docs/en-US/index.html

https://access.redhat.com/support/offerings/techpreview/

https://bugzilla.redhat.com/show_bug.cgi?id=733746

https://bugzilla.redhat.com/show_bug.cgi?id=754386

http://www.nessus.org/u?a41fac1c

https://access.redhat.com/errata/RHSA-2011:1803

插件详情

严重性: Medium

ID: 210143

文件名: redhat-RHSA-2011-1803.nasl

版本: 1.1

类型: local

代理: unix

系列: Red Hat Local Security Checks

发布时间: 2024/11/4

最近更新时间: 2024/11/4

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.0

Vendor

Vendor Severity: Low

CVSS v2

风险因素: Medium

基本分数: 5.8

时间分数: 4.5

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:P

CVSS 分数来源: CVE-2011-4314

CVSS v3

风险因素: Medium

基本分数: 5.9

时间分数: 5.3

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: cpe:/o:redhat:enterprise_linux:5, p-cpe:/a:redhat:enterprise_linux:jbosssx2, p-cpe:/a:redhat:enterprise_linux:jakarta-commons-logging-jboss, p-cpe:/a:redhat:enterprise_linux:slf4j, p-cpe:/a:redhat:enterprise_linux:jboss-ejb3-core, p-cpe:/a:redhat:enterprise_linux:jbossas-web-client, p-cpe:/a:redhat:enterprise_linux:jboss-seam2-runtime, p-cpe:/a:redhat:enterprise_linux:rhq-common-parent, p-cpe:/a:redhat:enterprise_linux:mod_cluster-native, p-cpe:/a:redhat:enterprise_linux:jboss-cl, p-cpe:/a:redhat:enterprise_linux:picketlink-federation, p-cpe:/a:redhat:enterprise_linux:mod_cluster, p-cpe:/a:redhat:enterprise_linux:resteasy-javadoc, p-cpe:/a:redhat:enterprise_linux:rhq-core-domain, p-cpe:/a:redhat:enterprise_linux:resteasy-manual, p-cpe:/a:redhat:enterprise_linux:rhq-jboss-as-common, p-cpe:/a:redhat:enterprise_linux:jbossts-javadoc, p-cpe:/a:redhat:enterprise_linux:org-mc4j-ems, p-cpe:/a:redhat:enterprise_linux:mod_cluster-jbossweb2, p-cpe:/a:redhat:enterprise_linux:rhq-core-plugin-container, p-cpe:/a:redhat:enterprise_linux:rhq-core-comm-api, p-cpe:/a:redhat:enterprise_linux:mod_cluster-jbossas, p-cpe:/a:redhat:enterprise_linux:rhq-core-native-system, p-cpe:/a:redhat:enterprise_linux:jbossweb-jsp-2.1-api, p-cpe:/a:redhat:enterprise_linux:jboss-security-spi, p-cpe:/a:redhat:enterprise_linux:jboss-seam2-docs, p-cpe:/a:redhat:enterprise_linux:jbossas-ws-cxf-ewp, p-cpe:/a:redhat:enterprise_linux:rhq-core-parent, p-cpe:/a:redhat:enterprise_linux:glassfish-jaxb, p-cpe:/a:redhat:enterprise_linux:mod_cluster-tomcat6, p-cpe:/a:redhat:enterprise_linux:jopr-embedded, p-cpe:/a:redhat:enterprise_linux:jboss-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-ejb3-proxy-impl, p-cpe:/a:redhat:enterprise_linux:jboss-ejb3-proxy-clustered, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:jbossws-common, p-cpe:/a:redhat:enterprise_linux:jopr-jboss-as-5-plugin, p-cpe:/a:redhat:enterprise_linux:rhq-plugins-parent, p-cpe:/a:redhat:enterprise_linux:resteasy, p-cpe:/a:redhat:enterprise_linux:jboss-naming, p-cpe:/a:redhat:enterprise_linux:jacorb-jboss, p-cpe:/a:redhat:enterprise_linux:rhq-core-client-api, p-cpe:/a:redhat:enterprise_linux:jboss-cluster-ha-client, p-cpe:/a:redhat:enterprise_linux:rhq-core-plugin-api, p-cpe:/a:redhat:enterprise_linux:apache-cxf, p-cpe:/a:redhat:enterprise_linux:rhq-core-util, p-cpe:/a:redhat:enterprise_linux:mod_cluster-demo, p-cpe:/a:redhat:enterprise_linux:rhq-platform-plugin, p-cpe:/a:redhat:enterprise_linux:glassfish-jsf, p-cpe:/a:redhat:enterprise_linux:rhq, p-cpe:/a:redhat:enterprise_linux:cglib, p-cpe:/a:redhat:enterprise_linux:facelets, p-cpe:/a:redhat:enterprise_linux:jopr-hibernate-plugin, p-cpe:/a:redhat:enterprise_linux:xalan-j2, p-cpe:/a:redhat:enterprise_linux:jbossas-web-tp-licenses, p-cpe:/a:redhat:enterprise_linux:jopr-jboss-cache-v3-plugin, p-cpe:/a:redhat:enterprise_linux:jbossas-web, p-cpe:/a:redhat:enterprise_linux:jboss-cache-core, p-cpe:/a:redhat:enterprise_linux:jbossws-framework, p-cpe:/a:redhat:enterprise_linux:jboss-seam2-examples, p-cpe:/a:redhat:enterprise_linux:jbossas-web-ws-native, p-cpe:/a:redhat:enterprise_linux:jboss-aop2, p-cpe:/a:redhat:enterprise_linux:picketlink-federation-webapp-pdp, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:rh-ewp-docs-examples, p-cpe:/a:redhat:enterprise_linux:jboss-el, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jbossws, p-cpe:/a:redhat:enterprise_linux:jbossweb-servlet-2.5-api, p-cpe:/a:redhat:enterprise_linux:rhq-modules-parent, p-cpe:/a:redhat:enterprise_linux:resteasy-examples, p-cpe:/a:redhat:enterprise_linux:jbossws-spi, p-cpe:/a:redhat:enterprise_linux:picketlink-federation-webapp-sts, p-cpe:/a:redhat:enterprise_linux:rh-ewp-docs, p-cpe:/a:redhat:enterprise_linux:jbossweb-lib, p-cpe:/a:redhat:enterprise_linux:picketlink-federation-webapp-idp, p-cpe:/a:redhat:enterprise_linux:jboss-common-core, p-cpe:/a:redhat:enterprise_linux:rhq-core-gui, p-cpe:/a:redhat:enterprise_linux:jboss-eap5-native, p-cpe:/a:redhat:enterprise_linux:jbossweb-el-1.0-api, p-cpe:/a:redhat:enterprise_linux:rhq-parent, p-cpe:/a:redhat:enterprise_linux:rhq-jmx-plugin, p-cpe:/a:redhat:enterprise_linux:jboss-seam2

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2011/12/8

漏洞发布日期: 2011/5/10

参考资料信息

CVE: CVE-2011-4314

RHSA: 2011:1803