检测

RHEL 4 / 5 / 6:JBoss EAP (RHSA-2013:0257)

medium Nessus 插件 ID 64628

语言:

简介

远程 Red Hat 主机缺少安全更新。

描述

用于 JBoss Enterprise Application Platform 5.2.0 的更新后的 apache-cxf 程序包修复了两个安全问题,现在可用于 Red Hat Enterprise Linux 4、5 和 6。

Red Hat 安全响应团队已将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

JBoss Enterprise Application Platform 是一款适用于 Java 应用程序的平台,其将 JBoss Application Server 与 JBoss Hibernate 和 JBoss Seam 相集成。

如果 Web 服务是使用 Apache CXF 部署的,并且启用了 WSS4JInInterceptor 以应用 WS-Security 处理,则无需应用认证检查,将始终向针对这些服务的 HTTP GET 请求授予访问权限。URIMappingInterceptor 是一种旧机制,允许对简单 SOAP 服务进行类 REST 的访问(通过 GET 请求)。远程攻击者可利用此缺陷,使用 GET 请求访问简单 SOAP 服务的类 REST 接口,从而绕过 WSS4JInInterceptor 应用的安全限制。此缺陷仅当 WSS4JInInterceptor 用于应用 WS-Security 处理时才可利用。使用 WS-SecurityPolicy 应用安全性的服务不受影响。(CVE-2012-5633)

已发现在某些情况下 Apache CXF 容易遭受 SOAPAction 欺骗攻击。如果通过为每个服务操作使用唯一 SOAPAction 的 Apache CXF 暴露 Web 服务,则远程攻击者可执行 SOAPAction 欺骗,在已禁止的操作接受与允许的操作相同的参数的情况下调用该已禁止操作。需对被调用的操作执行 WS 策略验证,攻击必须通过验证才能成功。
(CVE-2012-3451)

请注意,CVE-2012-3451 和 CVE-2012-5633 问题仅影响安装有 JBoss Web Services CXF 的环境。

Red Hat 在此感谢 Apache CXF 项目报告 CVE-2012-3451。

警告:应用此更新之前,请备份现有 JBoss Enterprise Application Platform 安装程序(包括所有应用程序和配置文件)。

建议 Red Hat Enterprise Linux 4、5 和 6 中的所有 JBoss Enterprise Application Platform 5.2.0 用户升级到此更新后的程序包。必须重新启动 JBoss 服务器进程才能使更新生效。

解决方案

更新受影响的 apache-cxf 程序包。

另见

http://cxf.apache.org/security-advisories.html

http://www.nessus.org/u?4c5ebf6e

https://access.redhat.com/errata/RHSA-2013:0257

https://access.redhat.com/security/updates/classification/#important

https://bugzilla.redhat.com/show_bug.cgi?id=851896

https://bugzilla.redhat.com/show_bug.cgi?id=889008

插件详情

严重性: Medium

ID: 64628

文件名: redhat-RHSA-2013-0257.nasl

版本: 1.22

类型: local

代理: unix

发布时间: 2013/2/14

最近更新时间: 2024/11/4

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 3.7

Vendor

Vendor Severity: Important

CVSS v2

风险因素: Medium

基本分数: 5.8

时间分数: 4.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

CVSS 分数来源: CVE-2012-5633

CVSS v3

风险因素: Medium

基本分数: 5.4

时间分数: 4.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:6, cpe:/o:redhat:enterprise_linux:4, p-cpe:/a:redhat:enterprise_linux:apache-cxf

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2013/2/13

漏洞发布日期: 2012/9/24

参考资料信息

CVE: CVE-2012-3451, CVE-2012-5633

BID: 55628, 57874

RHSA: 2013:0257