关键信息 安全公告编号: RHSA-2014:0171 发布时间: 2014-02-13 更新时间: 2014-02-13 严重性: 中等 影响的产品: Red Hat JBoss Enterprise Application Platform 6.2.1 主题 提供了Red Hat JBoss Enterprise Application Platform 6.2.1的更新包,修复了三个安全问题、多个bug并添加了各种增强功能。 Red Hat安全响应团队将此更新评为具有中等安全影响。CVSS基础分数可用于引用部分中的每个漏洞的CVE链接中,以了解详细的严重性评分。 描述 描述了存在JBoss Enterprise Application Platform 6中OpenSAML Java实现中的解析器池和解密器类解析外部实体,从而允许XML外部实体(XXE)攻击,可能导致远程攻击者读取文件和执行更高级的XXE攻击。 描述了Apache Santuario XML安全项目允许在启用安全验证时处理文档类型定义(DTD),可能导致远程攻击者耗尽系统上的所有可用内存,从而导致拒绝服务。 描述了在使用安全经理时,JBoss Enterprise Application Platform中允许部署的代码在没有任何权限检查的情况下访问模块化服务容器(MSC)服务注册表,可能导致恶意部署以各种方式修改服务器的内部状态。 解决方案 在应用此更新之前,请确保所有以前发布的与您的系统相关的错误修复都已应用。此外,请备份任何定制的Red Hat JBoss Enterprise Application Platform 6配置文件。在更新过程中,本地修改的配置文件将不会被更新。 可以通过Red Hat Network获取此更新。 影响的产品 列出了受影响的产品版本和平台。 修复 列出了相关的bug跟踪、CVE编号和RPM升级信息。 CVE编号 CVE-2014-0018: 未经检查的访问MSC服务注册表下的JSM。 CVE-2013-4517: DoS攻击的Apache Santuario XML安全。 CVE-2013-6440: XML eXternal Entity (XXE) 漏洞。 参考 提供了安全分类链接和发布说明链接。