Inicio / Alerta Temprana / Avisos Seguridad / Actualización de Red Hat JBoss Portal

Actualización de Red Hat JBoss Portal

Fecha de publicación: 
17/10/2013
Importancia: 
4 - Alta
Recursos afectados: 

JBoss Portal 6.0.0.

Descripción: 

Red Hat JBoss Portal 6.1.0 está ahora disponible desde el Red Hat Customer Portal, solucionando múltiples vulnerabilidades de seguridad y bugs.

El Red Hat Security Response Team ha calificado esta actualización como de impacto importante. Desde los enlaces CVE de la sección de referencias están disponibles los valores "Common Vulnerability Scoring System" (CVSS) de cada vulnerabilidad.

Solución: 

Las vulnerabilidades se resuelven mediante la actualización a Red Hat JBoss Portal 6.1.0.

Detalle: 

De las vulnerabilidades corregidas, las clasificadas como de impacto alto son:

  • CVE-2013-4213: expone una vulnerabilidad en la manera en que las conexiones para invocaciones EJB remotas a través de la API del cliente EJB eran cacheadas en el servidor. Después de que un usuario se autenticase satisfactoriamente, un atacante remoto podría utilizar un cliente EJB para acceder como dicho usuario sin conocer su contraseña.
  • CVE-2013-4128: después de que un usuario se autenticase satisfactoriamente, un atacante remoto podría usar un cliente remoto para acceder como dicho usuario sin conocer la contraseña, permitiéndole acceder a datos y ejecutar acciones con los privilegios de dicho usuario.
  • CVE-2012-5575: Ataques de tipo "XML encryption backwards compatibility" fueron encontrados en varios frameworks, incluyendo Apache CXF. Un atacante podría forzar a un servidor a utilizar un criptosistema "legacy" inseguro, incluso estando disponibles criptosistemas seguros en los extremos. Forzando el uso de criptosistemas "legacy", fallos como CVE-2011-1096 y CVE-2011-2487 podrían ser aprovechados, permitiendo la recuperación de textos sin cifrar a partir de criptogramas y claves simétricas.

Nota: Sólo se ejecutan comprobaciones automáticas para prevenir CVE-2012-5575 cuando WS-SecurityPolicy es utilizado para forzar requisitos de seguridad, lo cual es una buena práctica.

Además de las vulnerabilidades mencionadas, la actualización resuelve las vulnerabilidades CVE-2013-4112, CVE-2013-2172, CVE-2013-2160, CVE-2013-2067 y CVE-2012-4431, clasificadas como de riesgo moderado y las vulnerabilidades CVE-2012-4529, CVE-2012-4572, CVE-2013-1921 y CVE-2013-2102, calificadas como de bajo riesgo.