RHEL 5 / 6：Red Hat JBoss Enterprise Application Platform 6.2.4 (RHSA-2014:0843)

medium Nessus 插件 ID 76401

语言：

简介

远程 Red Hat 主机缺少 Red Hat JBoss Enterprise Application Platform 6.2.4 的一个或多个安全更新。

描述

远程 Redhat Enterprise Linux 5/6 主机上安装的程序包受到 RHSA-2014:0843 公告中提及的多个漏洞影响。

Red Hat JBoss Enterprise Application Platform 6 是适用于基于 JBoss Application Server 7 的 Java 应用程序的平台。

已发现 JBoss Web 在使用分块传输编码时未对区块大小的长度进行限制。远程攻击者可利用此缺陷，通过对无限量数据进行流式处理，针对 JBoss Web 发起拒绝服务攻击，从而导致过度消耗服务器资源。(CVE-2014-0075)

已发现 JBoss Web 在解析请求内容长度标头时未检查溢出值。远程攻击者可利用此缺陷，对位于可正确处理内容长度标头的反向代理后方的 JBoss Web 服务器发起 HTTP 请求走私攻击。(CVE-2014-0099)

已发现 JBoss Web 中的 org.apache.catalina.servlets.DefaultServlet 实现允许在提供的 XSLT 中定义 XML 外部实体 (XXE)。恶意应用程序可利用此问题避开预设的安全限制，以泄露敏感信息。(CVE-2014-0096)

已发现在某些情况下，恶意 Web 应用程序可能替换 JBoss Web 用来为默认 servlet、JSP 文档、标签库描述符 (TLD) 和标签插件配置文件处理 XSLT 的 XML 解析器。注入的 XML 解析器可随后绕过在 XML 外部实体上施加的限制，和/或访问为在同一 JBoss Web 实例上部署的其他 Web 应用程序处理的 XML 文件。(CVE-2014-0119)

CVE-2014-0075 问题由 Red Hat 产品安全的 David Jorm 发现。

建议 Red Hat Enterprise Linux 5 和 6 上的所有 Red Hat JBoss Enterprise Application Platform 6.2.4 用户升级这些更新后的程序包。
必须重新启动 JBoss 服务器进程才能使更新生效。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

依据 RHSA-2014:0843 中的指南更新 RHEL Red Hat JBoss Enterprise Application Platform 6.2.4 程序包。

另见

http://www.nessus.org/u?2aea4342

https://access.redhat.com/errata/RHSA-2014:0843

https://access.redhat.com/security/updates/classification/#moderate

https://bugzilla.redhat.com/show_bug.cgi?id=1072776

https://bugzilla.redhat.com/show_bug.cgi?id=1088342

https://bugzilla.redhat.com/show_bug.cgi?id=1102030

https://bugzilla.redhat.com/show_bug.cgi?id=1102038

插件详情

严重性: Medium

ID: 76401

文件名: redhat-RHSA-2014-0843.nasl

版本: 1.17

类型: local

代理: unix

系列: Red Hat Local Security Checks

发布时间: 2014/7/8

最近更新时间: 2025/3/20

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus