检测

RHEL 6:jboss-ec2-eap (RHSA-2012:1376)

medium Nessus 插件 ID 64058

语言:

简介

远程 Red Hat 主机缺少安全更新。

描述

更新后的 jboss-ec2-eap 程序包修复了一个安全问题,现在可用于 Amazon Web Services (AWS) Elastic Compute Cloud (EC2) 上运行的 JBoss Enterprise Application Platform 5.1.2 for Red Hat Enterprise Linux 6。

Red Hat 安全响应团队将此更新评级为具有低危安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

jboss-ec2-eap 为 Amazon Web Services (AWS) Elastic Compute Cloud (EC2) 上运行的 Red Hat JBoss Enterprise Application Platform 提供 JBoss Operations Network (JBoss ON) 脚本。

已发现在 Red Hat Enterprise Linux 6 中使用 EC2 AMI (Amazon Machine Image) for JBoss Enterprise Application Platform 5.1.2 时,“/var/cache/jboss-ec2-eap/”目录具有全局可读权限。本地攻击者可利用此缺陷从该目录读取可能敏感的信息,如 Amazon Web Services (AWS) 凭据。(CVE-2012-3427)

注意:此缺陷仅影响 EC2 AMI for JBoss Enterprise Application Platform 5.1.2。

此问题由 Red Hat QE 团队的 Aleksandar Kostadinov 发现。

警告:应用此更新之前,请备份 JBoss Enterprise Application Platform 的“server/[PROFILE]/deploy/”目录,以及所有其他自定义配置文件。

EC2 中运行的 Red Hat Enterprise Linux 6 中的 JBoss Enterprise Application Platform 5.1.2 用户应升级此更新后的程序包,其中修正了此问题。必须重新启动 JBoss 服务器进程以使此更新生效。

解决方案

更新受影响的 jboss-ec2-eap 程序包。

另见

http://www.nessus.org/u?52236e76

https://access.redhat.com/errata/RHSA-2012:1376

https://access.redhat.com/security/updates/classification/#low

https://bugzilla.redhat.com/show_bug.cgi?id=843335

插件详情

严重性: Medium

ID: 64058

文件名: redhat-RHSA-2012-1376.nasl

版本: 1.16

类型: local

代理: unix

发布时间: 2013/1/24

最近更新时间: 2024/11/4

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

Vendor

Vendor Severity: Low

CVSS v2

风险因素: Low

基本分数: 2.1

时间分数: 1.6

矢量: CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:N

CVSS 分数来源: CVE-2012-3427

CVSS v3

风险因素: Medium

基本分数: 5.5

时间分数: 4.8

矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:jboss-ec2-eap, cpe:/o:redhat:enterprise_linux:6

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2012/10/16

漏洞发布日期: 2014/2/2

参考资料信息

CVE: CVE-2012-3427

BID: 55945

RHSA: 2012:1376