RHEL 5 / 6:JBoss EAP (RHSA-2014:0204)

low Nessus 插件 ID 72678

简介

远程 Red Hat 主机缺少安全更新。

描述

更新后的 Red Hat JBoss Enterprise Application Platform 6.2.1 程序包修复了一个安全问题,现在可用于 Red Hat Enterprise Linux 5 和 6。

Red Hat 安全响应团队将此更新评级为具有低危安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

Red Hat JBoss Enterprise Application Platform 6 是适用于基于 JBoss Application Server 7 的 Java 应用程序的平台。

发现 Red Hat JBoss Enterprise Application Platform 6 提供的安全审计功能以明文方式记录请求参数。这样可能导致使用 BASIC 或基于 FORM 的认证时在审计日志文件中包含密码。能够访问审计日志文件的本地攻击者可能会使用此缺陷来获取应用程序或服务器认证凭据。
(CVE-2014-0058)

为修复 CVE-2014-0058 而提供的修补程序还允许对审计日志中捕获的 Web 请求的以下组件中的内容进行更多控制:

- 参数 - cookie - 标头 - 属性

还可以使用掩码选择性地掩盖标头、参数 cookie 和属性的某些元素。此修补程序引入的两个系统属性提供此功能:

1) org.jboss.security.web.audit

描述:此属性控制 Web 请求的安全审计的精细度。

可能值:off = 禁用 Web 请求审计 headers = 仅审计 Web 请求的标头 cookies = 仅审计 Web 请求的 cookie parameters = 仅审计 Web 请求的参数 attributes = 仅审计 Web 请求的属性 headers,cookies,parameters = 审计 Web 请求的标头、cookie 和参数 headers,cookies = 审计 Web 请求的标头和 cookie

默认值:headers, parameters

示例:设置“org.jboss.security.web.audit=off”会完全禁用 Web 请求的安全审计。设置“org.jboss.security.web.audit=headers”会启用 Web 请求中的仅限标头的安全审计。

2) org.jboss.security.web.audit.mask

描述:此属性可被用于指定与 Web 请求的标头、参数、cookie 和属性匹配的字符串列表。安全审计日志记录中将排除与指定掩码匹配的任何元素。

可能值:任何指明标头、参数、cookie 和属性项的逗号分隔字符串。

默认值:j_password, authorization

请注意,当前的掩码匹配为模糊匹配,而非严格匹配。例如,“authorization”掩码将掩盖名为 authorization 的标头和名为“custom_authorization”的参数。未来的版本可能会引入严格掩码。

警告:应用此更新之前,请备份现有 Red Hat JBoss Enterprise Application Platform 安装和部署的应用程序。

建议 Red Hat Enterprise Linux 5 和 6 上的所有 Red Hat JBoss Enterprise Application Platform 6.2.1 用户升级这些更新后的程序包。必须重新启动 JBoss 服务器进程才能使更新生效。

解决方案

更新受影响的 jboss-as-web 程序包。

另见

https://access.redhat.com/errata/RHSA-2014:0204

https://access.redhat.com/security/cve/cve-2014-0058

插件详情

严重性: Low

ID: 72678

文件名: redhat-RHSA-2014-0204.nasl

版本: 1.18

类型: local

代理: unix

发布时间: 2014/2/25

最近更新时间: 2021/1/14

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.0

CVSS v2

风险因素: Low

基本分数: 1.9

时间分数: 1.4

矢量: CVSS2#AV:L/AC:M/Au:N/C:P/I:N/A:N

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:jboss-as-web, cpe:/o:redhat:enterprise_linux:5, cpe:/o:redhat:enterprise_linux:6

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2014/2/24

漏洞发布日期: 2014/2/26

参考资料信息

CVE: CVE-2014-0058

BID: 65762

RHSA: 2014:0204