RHEL 7Red Hat JBoss Enterprise Application Platform 7.3.13 (RHSA-2025:4437)
high Nessus 插件 ID 235116
语言:
简介
远程 Red Hat 主机缺少 Red Hat JBoss Enterprise Application Platform 7.3.13 的一个或多个安全更新。描述
远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2025:4437 公告中提及的多个漏洞的影响。Red Hat JBoss Enterprise Application Platform 7 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 7.3.13 版本用于替换 Red Hat JBoss Enterprise Application Platform 7.3.12,并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 7.3.13 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。
Red Hat JBoss Enterprise Application Platform 7 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 7.3.13 版本用于替换 Red Hat JBoss Enterprise Application Platform 7.3.12,并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 7.3.13 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。
安全修复:
* com.google.code.gson-gsoncom.google.code.gson-gson 中不受信任的数据的反序列化 [eap-7.3.z] (CVE-2022-25647)
*woodstox-corewoodstox 序列化 XML 数据容易受到拒绝服务攻击 [eap-7.3.z] (CVE-2022-40152)
* xnioorg.xnio.StreamConnection.notifyReadClosed 记录以调试而不是 stderr [eap-7.3.z] (CVE-2022-0084)
* artemis-commonsApache ActiveMQ Artemis DoS [eap-7.3] (CVE-2022-23913)
* Moment.jsmoment.locale 中的路径遍历 [eap-7.3.z] (CVE-2022-24785)
* jettison通过用户提供的 XML 或 JSON 数据导致内存耗尽 [eap-7.3.z] (CVE-2022-40150)
* Snakeyaml由于缺少集合嵌套深度限制导致的拒绝服务 [eap-7.3.z] (CVE-2022-25857)
* jettison堆栈溢出造成的解析器崩溃 [eap-7.3.z] (CVE-2022-40149)
有关上述安全问题的更多详细信息,包括其影响、CVSS 得分、致谢,以及其他相关信息,请参阅列于“参考”部分的 CVE 页面。
Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
依据 RHSA-2025:4437 中的指南更新 RHEL Red Hat JBoss Enterprise Application Platform 7.3.13 程序包。另见
https://access.redhat.com/security/updates/classification/#important
http://www.nessus.org/u?c49d9db8
http://www.nessus.org/u?318afd7b
https://access.redhat.com/security/vulnerabilities/RHSB-2023-003
https://bugzilla.redhat.com/show_bug.cgi?id=2063601
https://bugzilla.redhat.com/show_bug.cgi?id=2064226
https://bugzilla.redhat.com/show_bug.cgi?id=2072009
https://bugzilla.redhat.com/show_bug.cgi?id=2080850
https://bugzilla.redhat.com/show_bug.cgi?id=2126789
https://bugzilla.redhat.com/show_bug.cgi?id=2134291
https://bugzilla.redhat.com/show_bug.cgi?id=2135770
https://bugzilla.redhat.com/show_bug.cgi?id=2135771
https://issues.redhat.com/browse/JBEAP-29297
插件详情
严重性: High
ID: 235116
文件名: redhat-RHSA-2025-4437.nasl
版本: 1.2
类型: local
代理: unix
发布时间: 2025/5/5
最近更新时间: 2025/6/5
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
Vendor
Vendor Severity: Important
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 3.9
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS 分数来源: CVE-2022-24785
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.7
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-journal, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap7.1, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly10.0, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-jdbc-store, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-cli, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-tools, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-service-extensions, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap7.3-server, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap7.0, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly8.2, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-java-jdk11, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-xnio-base, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly15.0-server, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly11.0, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-server, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly18.0-server, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-hornetq-protocol, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-dto, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-commons, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly17.0-server, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-selector, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-modules, p-cpe:/a:redhat:enterprise_linux:eap7-gson, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly13.0-server, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap6.4-to-eap7.3, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-core-client, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly16.0-server, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-javadocs, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-jms-server, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap6.4, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration, p-cpe:/a:redhat:enterprise_linux:eap7-woodstox-core, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-cli, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap7.2-to-eap7.3, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly10.1, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-jms-client, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly12.0, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly14.0-server, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-hqclient-protocol, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-eap7.2, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-core, p-cpe:/a:redhat:enterprise_linux:eap7-wildfly-java-jdk8, p-cpe:/a:redhat:enterprise_linux:eap7-jboss-server-migration-wildfly9.0, p-cpe:/a:redhat:enterprise_linux:eap7-activemq-artemis-ra, p-cpe:/a:redhat:enterprise_linux:eap7-hal-console
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2025/5/5
漏洞发布日期: 2022/2/4
参考资料信息
CVE: CVE-2022-0084, CVE-2022-23913, CVE-2022-24785, CVE-2022-25647, CVE-2022-25857, CVE-2022-40149, CVE-2022-40150, CVE-2022-40152