RHEL 7:Red Hat JBoss Enterprise Application Platform 7.3.11 安全更新(重要)(RHSA-2024:10207)

critical Nessus 插件 ID 211908

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2024:10207 公告中提及的多个漏洞的影响。

Red Hat JBoss Enterprise Application Platform 7 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 7.3.11 版本用于替换 Red Hat JBoss Enterprise Application Platform 7.3.10,并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 7.3.11 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

安全修复:

* cxf-core:使用 Aegis 数据绑定 [eap-7.3.z] (CVE-2024-28752) 的 Apache CXF SSRF 漏洞

* h2:通过 JNDI 从远程服务器加载自定义类 [eap-7.3.z] (CVE-2022-23221)

* log4j:Chainsaw 日志查看器中存在不安全的反序列化缺陷 [eap-7.3.z] (CVE-2022-23307)

* log4j:当应用程序配置为使用 JDBCAppender 时,Log4j 1.x 中会发生 SQL 注入问题 [eap-7.3.z] (CVE-2022-23305)

* log4j:当应用程序配置为使用 JMSAppender 时,Log4j 1.x 中会发生远程代码执行问题 [eap-7.3.z] (CVE-2021-4104)

* CXF:Apache CXF:SSRF 漏洞 [eap-7.3.z] (CVE-2022-46364)

* log4j:log4j1-chainsaw、log4j1-socketappender:通过哈希映射日志记录的 DoS [eap-7.3.z] (CVE-2023-26464)

* xalan:Xalan-J 中存在整数截断问题(JAXP、8285407)[eap-7.3.z] (CVE-2022-34169)

* xnio:通知程序状态链变得异常大时会发生堆栈溢出异常 [eap-7.3.z] (CVE-2023-5685)

* hsqldb:不受信任的输入可能导致 RCE 攻击 [eap-7.3.z] (CVE-2022-41853)

* server: eap-7:通过反序列化导致堆耗尽 [eap-7.3.z] (CVE-2023-3171)

* avro:apache-avro:Apache Avro Java SDK:反序列化 Avro Java SDK 中的不可信数据时的内存 [eap-7.3.z] (CVE-2023-39410)

* undertow:通过 HTTP2 执行用时引发客户端调用超时问题 [eap-7.3.z] (CVE-2021-3859)

* avro:apache-avro:Schema 解析可能触发远程代码执行 (RCE) [eap-7.3.z] (CVE-2024-47561)

有关上述安全问题的更多详细信息,包括其影响、CVSS 得分、致谢,以及其他相关信息,请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://access.redhat.com/security/updates/classification/#important

http://www.nessus.org/u?c49d9db8

http://www.nessus.org/u?318afd7b

https://bugzilla.redhat.com/show_bug.cgi?id=2010378

https://bugzilla.redhat.com/show_bug.cgi?id=2031667

https://bugzilla.redhat.com/show_bug.cgi?id=2041959

https://bugzilla.redhat.com/show_bug.cgi?id=2041967

https://bugzilla.redhat.com/show_bug.cgi?id=2044596

https://bugzilla.redhat.com/show_bug.cgi?id=2108554

https://bugzilla.redhat.com/show_bug.cgi?id=2136141

https://bugzilla.redhat.com/show_bug.cgi?id=2155682

https://bugzilla.redhat.com/show_bug.cgi?id=2182864

https://bugzilla.redhat.com/show_bug.cgi?id=2213639

https://bugzilla.redhat.com/show_bug.cgi?id=2241822

https://bugzilla.redhat.com/show_bug.cgi?id=2242521

https://bugzilla.redhat.com/show_bug.cgi?id=2270732

https://bugzilla.redhat.com/show_bug.cgi?id=2316116

https://issues.redhat.com/browse/JBEAP-23025

https://issues.redhat.com/browse/JBEAP-28084

https://issues.redhat.com/browse/JBEAP-28089

http://www.nessus.org/u?92b9bcc9

https://access.redhat.com/errata/RHSA-2024:10207

插件详情

严重性: Critical

ID: 211908

文件名: redhat-RHSA-2024-10207.nasl

版本: 1.2

类型: local

代理: unix

发布时间: 2024/11/27

最近更新时间: 2025/7/11

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: High

分数: 7.1

Vendor

Vendor Severity: Important

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2022-23221

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2022-46364

CVSS v4

风险因素: Critical

Base Score: 9.2

Threat Score: 8.2

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

CVSS 分数来源: CVE-2024-47561

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly10.0, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-cli, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap7.1, p-cpe:/a:redhat:enterprise_linux:eap7-wss4j-bindings, p-cpe:/a:redhat:enterprise_linux:eap7-wss4j-ws-security-policy-stax, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap7.3-server, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap7.0, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly8.2, p-cpe:/a:redhat:enterprise_linux:eap7-apache-cxf-rt, p-cpe:/a:redhat:enterprise_linux:eap7-h2database, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-java-jdk11, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-xnio-base, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly15.0-server, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly11.0, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-modules, p-cpe:/a:redhat:enterprise_linux:eap7-log4j-jboss-logmanager, p-cpe:/a:redhat:enterprise_linux:eap7-wss4j-policy, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly18.0-server, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly17.0-server, p-cpe:/a:redhat:enterprise_linux:eap7-avro, p-cpe:/a:redhat:enterprise_linux:eap7-xalan-j2, p-cpe:/a:redhat:enterprise_linux:eap7-apache-cxf, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly13.0-server, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap6.4-to-eap7.3, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-marshalling-river, p-cpe:/a:redhat:enterprise_linux:eap7-apache-cxf-services, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly16.0-server, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-javadocs, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-annotations-api_1.3_spec, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap6.4, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap7.2-to-eap7.3, p-cpe:/a:redhat:enterprise_linux:eap7-xml-security, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-marshalling, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly10.1, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly12.0, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly14.0-server, p-cpe:/a:redhat:enterprise_linux:eap7-wss4j, p-cpe:/a:redhat:enterprise_linux:eap7-apache-cxf-tools, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap7.2, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly, p-cpe:/a:redhat:enterprise_linux:eap7-wss4j-ws-security-dom, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-core, p-cpe:/a:redhat:enterprise_linux:eap7-wss4j-ws-security-stax, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-java-jdk8, p-cpe:/a:redhat:enterprise_linux:eap7-wss4j-ws-security-common, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly9.0

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2024/11/25

漏洞发布日期: 2021/12/10

参考资料信息

CVE: CVE-2021-3859, CVE-2021-4104, CVE-2022-23221, CVE-2022-23305, CVE-2022-23307, CVE-2022-34169, CVE-2022-41853, CVE-2022-46364, CVE-2023-26464, CVE-2023-3171, CVE-2023-39410, CVE-2023-5685, CVE-2024-28752, CVE-2024-47561

CWE: 192, 20, 214, 400, 470, 502, 789, 89, 918

RHSA: 2024:10207