检测

RHEL 5/6:JBoss Enterprise Web Platform 5.2.0 (RHSA-2013:0874)

medium Nessus 插件 ID 210215

语言:

简介

远程 Red Hat 主机缺少 JBoss Enterprise Web Platform 5.2.0 的安全更新。

描述

远程 Redhat Enterprise Linux 5 / 6 主机上安装的程序包受到 RHSA-2013:0874 公告中提及的漏洞影响。

 Enterprise Web Platform 是 JBoss Enterprise Application Platform 的精简配置文件,适用于具有轻型、富 Java 应用程序的中型工作负载。

 发现各种框架(包括 Apache CXF)中均存在 XML 加密向后兼容性攻击。攻击者可强制服务器使用不安全的旧版密码系统,即使当端点启用安全加密系统时。通过强制使用旧版加密系统,将暴露 CVE-2011-1096 和 CVE-2011-2487 等缺陷,并允许纯文本通过密文和对称密钥恢复。此问题同时影响 JBoss Web Services CXF (jbossws-cxf) 和 JBoss Web Services Native (jbossws-native) 堆栈。(CVE-2012-5575)

 Red Hat 在此感谢 Ruhr-University Bochum 的 Tibor Jager、Kenneth G. Paterson 和 Juraj Somorovsky 报告此问题。

 如果正在使用 jbossws-cxf,则自动检查以防止仅在使用 WS-SecurityPolicy 来强制实施安全要求时运行此缺陷。使用 WS-SecurityPolicy 执行安全要求为最佳做法。

 如果正在使用 jbossws-native,“encryption”元素中的两个新配置参数会实现针对此缺陷的补丁。此元素可同时作为客户端和服务器 wsse 配置描述符中的“requires”的子项(在每个应用程序的基础上通过应用程序的 jboss-wsse-server.xml 和 jboss-wsse-client.xml 文件进行设置)。新属性为“algorithms”和“keyWrapAlgorithms”。这些属性应包含允许用于加密和私钥封装的加密传入消息的以空格或逗号分隔的算法 ID 列表。为了向后兼容,默认不会对空列表或缺少的属性执行任何算法检查。

 例如(在配置中不要包括换行):

 encryption algorithms=aes-192-gcm aes-256-gcm keyWrapAlgorithms=rsa_oaep

 指定需要对传入消息进行加密,仅 GCM 模式中的 AES-192 和 256 为允许的加密算法,并且仅 RSA-OAEP 用于密钥封装。

 执行任意解密之前,jbossws-native 堆栈将验证这些新的加密元素属性允许的算法列表中是否包含了传入消息中指定的每种算法。用于“algorithms”和“keyWrapAlgorithms”的算法值与“encrypt”元素中“algorithm”和“keyWrapAlgorithm”的值相同。

 警告:应用此更新之前,请备份现有 JBoss Enterprise Web Platform 安装程序(包括所有应用程序和配置文件)。

 建议 Red Hat Enterprise Linux 4、5 和 6 上 JBoss Enterprise Web Platform 5.2.0 的所有用户都升级到这些更新后的程序包。必须重新启动 JBoss 服务器进程才能使更新生效。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

请根据 RHSA-2013:0874 中的指南更新 RHEL JBoss Enterprise Web Platform 5.2.0 程序包。

另见

https://access.redhat.com/security/updates/classification/#important

http://ws.apache.org/wss4j/best_practice.html

http://cxf.apache.org/cve-2012-5575.html

https://bugzilla.redhat.com/show_bug.cgi?id=880443

http://www.nessus.org/u?1e28cbbd

https://access.redhat.com/errata/RHSA-2013:0874

插件详情

严重性: Medium

ID: 210215

文件名: redhat-RHSA-2013-0874.nasl

版本: 1.1

类型: local

代理: unix

发布时间: 2024/11/4

最近更新时间: 2024/11/4

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 2.5

Vendor

Vendor Severity: Important

CVSS v2

风险因素: Medium

基本分数: 6.4

时间分数: 4.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS 分数来源: CVE-2012-5575

CVSS v3

风险因素: Medium

基本分数: 6.5

时间分数: 5.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:wss4j, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:jbossws, p-cpe:/a:redhat:enterprise_linux:apache-cxf

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2013/5/28

漏洞发布日期: 2012/11/26

参考资料信息

CVE: CVE-2012-5575

CWE: 327

RHSA: 2013:0874