RHEL 7:RHEL 7 上的 Red Hat JBoss Enterprise Application Platform 7.1.8 (RHSA-2024:10208)
critical Nessus 插件 ID 211909
语言:
简介
远程 Red Hat 主机缺少 RHEL 7 上 Red Hat JBoss Enterprise Application Platform 7.1.8 的一个或多个安全更新。描述
远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2024:10208 公告中提及的多个漏洞的影响。Red Hat JBoss Enterprise Application Platform 7 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 7.1.8 版本用于替换 Red Hat JBoss Enterprise Application Platform 7.1.7,并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 7.1.8 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。
安全修复:
* bouncycastle:OpenBSDBCrypt.checkPassword 实用工具中可能存在密码绕过漏洞 [eap-7.1.z] (CVE-2020-28052)
* hsqldb:不受信任的输入可能导致 RCE 攻击 [eap-7.1.z] (CVE-2022-41853)
* cxf-core:使用 Aegis 数据绑定 [eap-7.1.z] (CVE-2024-28752) 的 Apache CXF SSRF 漏洞
* h2:通过 JNDI 从远程服务器加载自定义类 [eap-7.1.z] (CVE-2022-23221)
* CXF:Apache CXF:SSRF 漏洞 [eap-7.1.z] (CVE-2022-46364)
* xalan:Xalan-J 中存在整数截断问题(JAXP、8285407)[eap-7.1.z] (CVE-2022-34169)
* log4j:log4j1-chainsaw、log4j1-socketappender:通过哈希映射日志记录的 DoS [eap-7.1.z] (CVE-2023-26464)
* xnio:通知程序状态链变得异常大时会发生堆栈溢出异常 [eap-7.1.z] (CVE-2023-5685)
* server: eap-7:通过反序列化导致堆耗尽 [eap-7.1.z] (CVE-2023-3171)
发生 HTTP 请求走私,这是传输编码空白处理不当所致 [eap-7.1.z] (CVE-2020-7238)
* avro:apache-avro:Apache Avro Java SDK:反序列化 Avro Java SDK 中的不可信数据时的内存 [eap-7.1.z] (CVE-2023-39410)
* avro:apache-avro:Schema 解析可能触发远程代码执行 (RCE) [eap-7.1.z] (CVE-2024-47561)
有关上述安全问题的更多详细信息,包括其影响、CVSS 得分、知晓,以及其他相关信息,请参阅列于“参考”部分的 CVE 页面。
Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
依据 RHSA-2024:10208 中的指南更新 RHEL 7 上的 RHEL Red Hat JBoss Enterprise Application Platform 7.1.8 程序包。另见
https://bugzilla.redhat.com/show_bug.cgi?id=2270732
https://bugzilla.redhat.com/show_bug.cgi?id=2316116
https://issues.redhat.com/browse/JBEAP-27708
https://issues.redhat.com/browse/JBEAP-28086
https://issues.redhat.com/browse/JBEAP-28130
http://www.nessus.org/u?e13e0e25
https://access.redhat.com/errata/RHSA-2024:10208
https://access.redhat.com/security/updates/classification/#important
http://www.nessus.org/u?2684bd9c
http://www.nessus.org/u?690e43fa
https://bugzilla.redhat.com/show_bug.cgi?id=1796225
https://bugzilla.redhat.com/show_bug.cgi?id=1912881
https://bugzilla.redhat.com/show_bug.cgi?id=2044596
https://bugzilla.redhat.com/show_bug.cgi?id=2108554
https://bugzilla.redhat.com/show_bug.cgi?id=2136141
https://bugzilla.redhat.com/show_bug.cgi?id=2155682
https://bugzilla.redhat.com/show_bug.cgi?id=2182864
https://bugzilla.redhat.com/show_bug.cgi?id=2213639
插件详情
严重性: Critical
ID: 211909
文件名: redhat-RHSA-2024-10208.nasl
版本: 1.3
类型: local
代理: unix
发布时间: 2024/11/27
最近更新时间: 2025/7/11
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: High
分数: 7.1
Vendor
Vendor Severity: Important
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2022-23221
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2022-46364
CVSS v4
风险因素: Critical
Base Score: 9.2
Threat Score: 8.2
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CVSS 分数来源: CVE-2024-47561
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:eap7-apache-cxf-rt, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-xnio-base, p-cpe:/a:redhat:enterprise_linux:eap7-h2database, p-cpe:/a:redhat:enterprise_linux:eap7-bouncycastle-pkix, p-cpe:/a:redhat:enterprise_linux:eap7-jackson-databind, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-modules, p-cpe:/a:redhat:enterprise_linux:eap7-apache-cxf, p-cpe:/a:redhat:enterprise_linux:eap7-xalan-j2, p-cpe:/a:redhat:enterprise_linux:eap7-avro, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-marshalling, p-cpe:/a:redhat:enterprise_linux:eap7-apache-cxf-services, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-marshalling-river, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:eap7-bouncycastle-prov, p-cpe:/a:redhat:enterprise_linux:eap7-bouncycastle-mail, p-cpe:/a:redhat:enterprise_linux:eap7-apache-cxf-tools, p-cpe:/a:redhat:enterprise_linux:eap7-bouncycastle, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2024/11/25
漏洞发布日期: 2020/1/27
参考资料信息
CVE: CVE-2020-28052, CVE-2020-7238, CVE-2022-23221, CVE-2022-34169, CVE-2022-41853, CVE-2022-46364, CVE-2023-26464, CVE-2023-3171, CVE-2023-39410, CVE-2023-5685, CVE-2024-28752, CVE-2024-47561