检测

RHEL 6 / 7:thermostat1 (RHSA-2015:1052)

medium Nessus 插件 ID 234399

语言:

简介

远程 Red Hat 主机缺少安全更新。

描述

远程 Redhat Enterprise Linux 6 / 7 主机上安装的程序包受到 RHSA-2015:1052 公告中提及的漏洞的影响。

 Thermostat 是一款适用于 OpenJDK HotSpot Java Virtual Machine (JVM) 的监控和检测工具,支持监控多种 JVM 实例。Thermostat 支持从同一台计算机、远程计算机或网络上运行的 JVM 监控和收集性能数据。该工具由三个组件组成:收集数据的代理、允许用户对收集的数据进行可视化的客户端以及代理和客户端通过其进行通信的存储层。用户可利用可插拔代理和 GUI 框架来收集和可视化性能数据,这些数据超出了随附的开箱即用数据。

 thermostat1 程序包已升级到上游版本 1.2.0,其提供了对之前版本的多项缺陷补丁和增强。其中:

 * 添加了新的检测 探查器插件。

 * 使用网页存储的安全 Thermostat 的设置已经简化;
 默认设置已更改为使用基于 HTTP 的存储。

 * 已引入多项改进,例如,Swing 客户端 GUI 和许多图表中。

 (BZ#1166688)

 已修复 thermostat1-thermostat 组件中的以下安全问题:

 发现 Thermostat Web 应用程序将数据库身份验证凭据存储在全局可读的配置文件中。运行 Thermostat Web 应用程序的系统上的本地用户可利用此缺陷访问和修改受监控的 JVM 数据,或在连接的 JVM 上执行操作。 (CVE-2015-3201)

 此问题的发现者为 Red Hat Thermostat 团队。

 建议 thermostat1 用户升级这些更新后的程序包,其中修复了这些问题并添加这些增强。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://access.redhat.com/security/updates/classification/#moderate

https://bugzilla.redhat.com/show_bug.cgi?id=1221989

http://www.nessus.org/u?569db2d6

https://access.redhat.com/errata/RHSA-2015:1052

插件详情

严重性: Medium

ID: 234399

文件名: redhat-RHSA-2015-1052.nasl

版本: 1.1

类型: local

代理: unix

发布时间: 2025/4/15

最近更新时间: 2025/4/15

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.4

Vendor

Vendor Severity: Moderate

CVSS v2

风险因素: Low

基本分数: 2.1

时间分数: 1.6

矢量: CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:N

CVSS 分数来源: CVE-2015-3201

CVSS v3

风险因素: Medium

基本分数: 5.5

时间分数: 5

矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:thermostat1-jcommon, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:thermostat1-jline2-javadoc, p-cpe:/a:redhat:enterprise_linux:thermostat1-jline2, p-cpe:/a:redhat:enterprise_linux:thermostat1-netty, p-cpe:/a:redhat:enterprise_linux:thermostat1, p-cpe:/a:redhat:enterprise_linux:thermostat1-jcommon-xml, p-cpe:/a:redhat:enterprise_linux:thermostat1-netty-javadoc, p-cpe:/a:redhat:enterprise_linux:thermostat1-jcommon-javadoc, p-cpe:/a:redhat:enterprise_linux:thermostat1-thermostat, p-cpe:/a:redhat:enterprise_linux:thermostat1-runtime, p-cpe:/a:redhat:enterprise_linux:thermostat1-apache-commons-fileupload, p-cpe:/a:redhat:enterprise_linux:thermostat1-scldevel, p-cpe:/a:redhat:enterprise_linux:thermostat1-jfreechart, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:thermostat1-apache-commons-fileupload-javadoc, p-cpe:/a:redhat:enterprise_linux:thermostat1-thermostat-webapp, p-cpe:/a:redhat:enterprise_linux:thermostat1-jfreechart-javadoc, p-cpe:/a:redhat:enterprise_linux:thermostat1-thermostat-javadoc

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2015/6/4

漏洞发布日期: 2015/5/15

参考资料信息

CVE: CVE-2015-3201

CWE: 522

RHSA: 2015:1052