检测

插件

RHEL 5：Red Hat JBoss Enterprise Application Platform 6.1.1 更新（中危）(RHSA-2013:1207)

medium Nessus 插件 ID 69882

语言：

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

远程 Redhat Enterprise Linux 5 主机上安装的多个程序包受到 RHSA-2013:1207 公告中提及的多个漏洞影响。

Red Hat JBoss Enterprise Application Platform 6 是适用于基于 JBoss Application Server 7 的 Java 应用程序的平台。

此版本可替换 Red Hat JBoss Enterprise Application Platform 6.1.0，并包含缺陷补丁和多项增强。有关这些最重要更改的信息，请参阅 6.1.1 发行说明，具体内容短期内将于 https://access.redhat.com/site/documentation/ 中提供

安全修复：

在 mod_info、mod_status、mod_imagemap、mod_ldap 和 mod_proxy_ftp 模块中发现跨站脚本 (XSS) 缺陷。如果攻击者能够使受害者的浏览器生成带有特别构建的主机标头的 HTTP 请求，则他们便可能利用这些缺陷发动 XSS 攻击。(CVE-2012-3499)

在 mod_proxy_balancer 模块的管理器 Web 界面中发现跨站脚本 (XSS) 缺陷。如果远程攻击者可诱骗登录到管理器 Web 界面的用户访问特别构建的 URL，则将导致在用户管理器界面会话的上下文中执行任意 Web 脚本。(CVE-2012-4558)

在 mod_dav 模块处理合并请求的方式中发现一个缺陷。攻击者可利用此缺陷，发送构建的合并请求（含有不是为 DAV 配置的 URI），从而导致 httpd 子进程崩溃。(CVE-2013-1896)

在 Apache Santuario XML Security for Java 验证 XML 签名的方式中发现一个缺陷。Santuario 允许签名指定任意规范化算法，该算法将被应用于 SignedInfo XML 片段。远程攻击者可利用这一点，通过特别构建的 XML 签名块冒充 XML 签名。(CVE-2013-2172)

已发现 mod_rewrite 未过滤其日志文件中的终端转义序列。如果 mod_rewrite 配置了 RewriteLog 指令，远程攻击者可使用特别构建的 HTTP 请求向 mod_rewrite 日志文件中注入终端转义序列。如果受害者查看具有终端仿真器的日志文件，则可导致以用户的权限执行任意命令。(CVE-2013-1862)

PicketBox Vault 用来存储加密密码的数据文件含有其自身 admin 密钥的副本。文件只使用该 admin 密钥进行加密，而不是相应的 JKS 密钥。具有保管库数据文件的读取权限的本地攻击者可从文件读取 admin 密钥，并且使用该密钥解密文件并读取明文中存储的密码。
(CVE-2013-1921)

在 JGroup 的 DiagnosticsHandler 中发现一个缺陷，允许相邻网络中的攻击者重用之前成功认证的凭据。可利用该缺陷读取诊断信息（信息泄露）并获取有限的远程代码执行。
(CVE-2013-4112)

警告：应用此更新之前，请备份现有 Red Hat JBoss Enterprise Application Platform 安装和部署的应用程序。
有关更多详细信息，请参阅“解决方案”部分。

建议 Red Hat Enterprise Linux 5 中的所有 Red Hat JBoss Enterprise Application Platform 6.1.0 用户升级这些更新后的程序包。必须重新启动 JBoss 服务器进程才能使更新生效。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://access.redhat.com/site/documentation/

https://bugzilla.redhat.com/show_bug.cgi?id=915883

https://bugzilla.redhat.com/show_bug.cgi?id=915884

https://bugzilla.redhat.com/show_bug.cgi?id=948106

https://bugzilla.redhat.com/show_bug.cgi?id=953729

https://bugzilla.redhat.com/show_bug.cgi?id=983489

https://bugzilla.redhat.com/show_bug.cgi?id=983549

https://bugzilla.redhat.com/show_bug.cgi?id=988076

https://bugzilla.redhat.com/show_bug.cgi?id=996642

https://bugzilla.redhat.com/show_bug.cgi?id=996644

https://bugzilla.redhat.com/show_bug.cgi?id=996645

https://bugzilla.redhat.com/show_bug.cgi?id=996646

https://bugzilla.redhat.com/show_bug.cgi?id=996647

https://bugzilla.redhat.com/show_bug.cgi?id=996648

https://bugzilla.redhat.com/show_bug.cgi?id=996649

https://bugzilla.redhat.com/show_bug.cgi?id=996650

https://bugzilla.redhat.com/show_bug.cgi?id=996651

https://bugzilla.redhat.com/show_bug.cgi?id=996652

https://bugzilla.redhat.com/show_bug.cgi?id=996653

https://bugzilla.redhat.com/show_bug.cgi?id=996654

https://bugzilla.redhat.com/show_bug.cgi?id=996655

https://bugzilla.redhat.com/show_bug.cgi?id=996697

https://bugzilla.redhat.com/show_bug.cgi?id=999263

http://www.nessus.org/u?3ec04fe0

https://access.redhat.com/errata/RHSA-2013:1207

https://access.redhat.com/security/updates/classification/#moderate

插件详情

严重性: Medium

ID: 69882

文件名: redhat-RHSA-2013-1207.nasl

版本: 1.11

类型: local

代理: unix

系列: Red Hat Local Security Checks

发布时间: 2013/9/13

最近更新时间: 2025/3/24

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

Vendor

Vendor Severity: Moderate

CVSS v2

风险因素: Medium

基本分数: 5.4

时间分数: 4.2

矢量: CVSS2#AV:A/AC:M/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2013-4112

CVSS v3

风险因素: Medium

基本分数: 6.1

时间分数: 5.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2013-6495

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:jbossws-cxf, p-cpe:/a:redhat:enterprise_linux:jaxbintros, p-cpe:/a:redhat:enterprise_linux:jboss-as-appclient, p-cpe:/a:redhat:enterprise_linux:apache-cxf, p-cpe:/a:redhat:enterprise_linux:jboss-as-client-all, p-cpe:/a:redhat:enterprise_linux:jboss-as-messaging, p-cpe:/a:redhat:enterprise_linux:jboss-aesh, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-configadmin, p-cpe:/a:redhat:enterprise_linux:infinispan-core, p-cpe:/a:redhat:enterprise_linux:jboss-as-weld, p-cpe:/a:redhat:enterprise_linux:jboss-as-clustering, p-cpe:/a:redhat:enterprise_linux:jcip-annotations-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-modules, p-cpe:/a:redhat:enterprise_linux:jboss-as-configadmin, cpe:/o:redhat:enterprise_linux:5, p-cpe:/a:redhat:enterprise_linux:httpd-devel, p-cpe:/a:redhat:enterprise_linux:jbossas-modules-eap, p-cpe:/a:redhat:enterprise_linux:jbossas-welcome-content-eap, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-api, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller, p-cpe:/a:redhat:enterprise_linux:hibernate4, p-cpe:/a:redhat:enterprise_linux:jboss-as-threads, p-cpe:/a:redhat:enterprise_linux:apache-commons-daemon-jsvc-eap6, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi-service, p-cpe:/a:redhat:enterprise_linux:jboss-as-jacorb, p-cpe:/a:redhat:enterprise_linux:hibernate4-core, p-cpe:/a:redhat:enterprise_linux:ironjacamar-deployers-common, p-cpe:/a:redhat:enterprise_linux:jboss-as-management-client-content, p-cpe:/a:redhat:enterprise_linux:jboss-as-server, p-cpe:/a:redhat:enterprise_linux:jboss-as-console, p-cpe:/a:redhat:enterprise_linux:picketlink-federation, p-cpe:/a:redhat:enterprise_linux:jboss-as-logging, p-cpe:/a:redhat:enterprise_linux:jboss-hal, p-cpe:/a:redhat:enterprise_linux:ironjacamar-validator, p-cpe:/a:redhat:enterprise_linux:jboss-as-version, p-cpe:/a:redhat:enterprise_linux:ironjacamar-core-impl, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-repository, p-cpe:/a:redhat:enterprise_linux:jboss-as-deployment-scanner, p-cpe:/a:redhat:enterprise_linux:jboss-as-network, p-cpe:/a:redhat:enterprise_linux:picketbox, p-cpe:/a:redhat:enterprise_linux:jboss-invocation, p-cpe:/a:redhat:enterprise_linux:jboss-logmanager, p-cpe:/a:redhat:enterprise_linux:httpd-manual, p-cpe:/a:redhat:enterprise_linux:infinispan-cachestore-remote, p-cpe:/a:redhat:enterprise_linux:ironjacamar, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxrs, p-cpe:/a:redhat:enterprise_linux:apache-cxf-xjc-utils, p-cpe:/a:redhat:enterprise_linux:jboss-as-sar, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-management, p-cpe:/a:redhat:enterprise_linux:cxf-xjc-ts, p-cpe:/a:redhat:enterprise_linux:cxf-xjc-dv, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee, p-cpe:/a:redhat:enterprise_linux:jbossas-javadocs, p-cpe:/a:redhat:enterprise_linux:jboss-as-security, p-cpe:/a:redhat:enterprise_linux:jboss-as-cmp, p-cpe:/a:redhat:enterprise_linux:jboss-as-host-controller, p-cpe:/a:redhat:enterprise_linux:jbossas-product-eap, p-cpe:/a:redhat:enterprise_linux:jboss-security-negotiation, p-cpe:/a:redhat:enterprise_linux:ironjacamar-spec-api, p-cpe:/a:redhat:enterprise_linux:apache-commons-beanutils, p-cpe:/a:redhat:enterprise_linux:opensaml, p-cpe:/a:redhat:enterprise_linux:ironjacamar-jdbc, p-cpe:/a:redhat:enterprise_linux:jboss-as-jmx, p-cpe:/a:redhat:enterprise_linux:hornetq-native, p-cpe:/a:redhat:enterprise_linux:httpd-tools, p-cpe:/a:redhat:enterprise_linux:hornetq, p-cpe:/a:redhat:enterprise_linux:infinispan-client-hotrod, p-cpe:/a:redhat:enterprise_linux:xml-security, p-cpe:/a:redhat:enterprise_linux:jboss-as-cli, p-cpe:/a:redhat:enterprise_linux:jgroups, p-cpe:/a:redhat:enterprise_linux:jboss-stdio, p-cpe:/a:redhat:enterprise_linux:jbossws-common, p-cpe:/a:redhat:enterprise_linux:netty, p-cpe:/a:redhat:enterprise_linux:hibernate4-entitymanager, p-cpe:/a:redhat:enterprise_linux:ironjacamar-core-api, p-cpe:/a:redhat:enterprise_linux:jbossas-domain, p-cpe:/a:redhat:enterprise_linux:jboss-as-web, p-cpe:/a:redhat:enterprise_linux:openws, p-cpe:/a:redhat:enterprise_linux:jboss-as-modcluster, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-spi, p-cpe:/a:redhat:enterprise_linux:jboss-as-connector, p-cpe:/a:redhat:enterprise_linux:jbossas-bundles, p-cpe:/a:redhat:enterprise_linux:httpd, p-cpe:/a:redhat:enterprise_linux:jboss-marshalling, p-cpe:/a:redhat:enterprise_linux:log4j-jboss-logmanager, p-cpe:/a:redhat:enterprise_linux:jboss-jsp-api_2.2_spec, p-cpe:/a:redhat:enterprise_linux:jbossas-standalone, p-cpe:/a:redhat:enterprise_linux:cxf-xjc-boolean, p-cpe:/a:redhat:enterprise_linux:jboss-as-ee-deployment, p-cpe:/a:redhat:enterprise_linux:jboss-as-process-controller, p-cpe:/a:redhat:enterprise_linux:jbossweb, p-cpe:/a:redhat:enterprise_linux:ironjacamar-common-impl, p-cpe:/a:redhat:enterprise_linux:jboss-as-naming, p-cpe:/a:redhat:enterprise_linux:jboss-as-platform-mbean, p-cpe:/a:redhat:enterprise_linux:wss4j, p-cpe:/a:redhat:enterprise_linux:jbossts, p-cpe:/a:redhat:enterprise_linux:jbossas-core, p-cpe:/a:redhat:enterprise_linux:jboss-as-xts, p-cpe:/a:redhat:enterprise_linux:jboss-as-transactions, p-cpe:/a:redhat:enterprise_linux:jboss-as-webservices, p-cpe:/a:redhat:enterprise_linux:jboss-as-osgi, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsr77, p-cpe:/a:redhat:enterprise_linux:jboss-as-domain-http, p-cpe:/a:redhat:enterprise_linux:jbossas-appclient, p-cpe:/a:redhat:enterprise_linux:hibernate4-envers, p-cpe:/a:redhat:enterprise_linux:infinispan, p-cpe:/a:redhat:enterprise_linux:jboss-as-embedded, p-cpe:/a:redhat:enterprise_linux:jboss-as-remoting, p-cpe:/a:redhat:enterprise_linux:jboss-as-jpa, p-cpe:/a:redhat:enterprise_linux:jboss-as-protocol, p-cpe:/a:redhat:enterprise_linux:jboss-as-controller-client, p-cpe:/a:redhat:enterprise_linux:hibernate4-infinispan, p-cpe:/a:redhat:enterprise_linux:jboss-as-jaxr, p-cpe:/a:redhat:enterprise_linux:jboss-as-jdr, p-cpe:/a:redhat:enterprise_linux:jbossws-spi, p-cpe:/a:redhat:enterprise_linux:jboss-ejb-client, p-cpe:/a:redhat:enterprise_linux:mod_ssl, p-cpe:/a:redhat:enterprise_linux:jboss-as-jsf, p-cpe:/a:redhat:enterprise_linux:infinispan-cachestore-jdbc, p-cpe:/a:redhat:enterprise_linux:jboss-remote-naming, p-cpe:/a:redhat:enterprise_linux:jbossas-hornetq-native, p-cpe:/a:redhat:enterprise_linux:jboss-as-pojo, p-cpe:/a:redhat:enterprise_linux:jboss-as-mail, p-cpe:/a:redhat:enterprise_linux:jboss-as-ejb3, p-cpe:/a:redhat:enterprise_linux:jboss-as-system-jmx

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2013/9/4

参考资料信息

CVE: CVE-2012-3499, CVE-2012-4558, CVE-2013-1862, CVE-2013-1896, CVE-2013-1921, CVE-2013-2172, CVE-2013-4112, CVE-2013-6495

BID: 58165, 59826, 60846, 61129, 61179, 62256

CWE: 290, 79

RHSA: 2013:1207