El Red Hat Security Response Team ha publicado una actualización para Red Hat JBoss Portal que la calificado como de impacto importante.
Recursos afectados
JBoss Portal 6.0.0.
Detalle e Impacto de las vulnerabilidades
Listado de vulnerabilidades corregidas, clasificadas con riesgo alto:
- CVE-2013-4213: expone una vulnerabilidad en la manera en que las conexiónes para invocaciones EJB remotas a través de la API del cliente EJB eran cacheadas en el servidor. Después de que un usuario se autenticase satisfactoriamente, un atacante remoto podría utilizar un cliente EJB para acceder como dicho usuario sin conocer su contraseña.
- CVE-2013-4128: después de que un usuario se autenticase satisfactoriamente, un atacante remoto podría usar un cliente remoto para acceder como dicho usuario sin conocer la contraseña, permitiéndole acceder a datos y ejecutar acciones con los privilegios de dicho usuario.
- CVE-2012-5575: Ataques de tipo "XML encryption backwards compatibility" fueron encontrados en varios frameworks, incluyendo Apache CXF. Un atacante podría forzar a un servidor a utilizar un criptosistema "legacy" inseguro, incluso estando disponibles criptosistemas seguros en los extremos. Forzando el uso de criptosistemas "legacy", fallos como CVE-2011-1096 y CVE-2011-2487 podrían ser aprovechados, permitiendo la recuperación de textos sin cifrar a partir de criptogramas y claves simétricas.
- Además de las vulnerabilidades mencionadas, la actualización resuelve las vulnerabilidades CVE-2013-4112, CVE-2013-2172, CVE-2013-2160, CVE-2013-2067 y CVE-2012-4431, clasificadas como de riesgo moderado y las vulnerabilidades CVE-2012-4529, CVE-2012-4572, CVE-2013-1921 y CVE-2013-2102, calificadas como de bajo riesgo.
Recomendación
- Las vulnerabilidades se resuelven mediante la actualización a Red Hat JBoss Portal 6.1.0.
- Red Hat JBoss Portal 6.1.0 está ahora disponible desde el Red Hat Customer Portal, solucionando múltiples vulnerabilidades de seguridad y bugs.
- Servico de alertas de Red Hat https://rhn.redhat.com/errata/RHSA-2013-1437.html
