AXSA:2020-931:01

リリース日: 
2020/11/19 Thursday - 00:40
題名: 
pki-core:10.6 security, bug fix, and enhancement update
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- FasterXML の jackson-databind には、com.zaxxer.hikari.HikariConfig
に関連する Polymorphic Typing の脆弱性があります。(CVE-2019-14540)

- FasterXML の jackson-databind には Polymorphic Typing の問題があり、
外部に公開された JSON エンドポイントに対してDefault Typingが(全体、又は特定の
プロパティに対して)有効で、サービスが commons-dbcp(1.4)の jar ファイルを
クラスパスに持ち、かつ攻撃者が RMI サービスのエンドポイントを見つけられる場合、
org.apache.commons.dbcp.datasources.SharedPoolDataSource と
org.apache.commons.dbcp.datasources.PerUserPoolDataSource を誤って
操作してしまうことが原因で、悪意のあるペイロードをサービスが実行できてしまう
脆弱性が存在します。 (CVE-2019-16942)

- FasterXML の jackson-databind には Polymorphic Typing の問題があり、
外部に公開された JSON エンドポイントに対してDefault Typingが(全体、又は特定
のプロパティに対して)有効で、サービスが p6spy(3.8.6)の jar ファイルを
クラスパスに持ち、かつ攻撃者が RMI サービスのエンドポイントを見つけられる場合、
com.p6spy.engine.spy.P6DataSource を誤って操作してしまうことが原因で、
悪意のあるペイロードをサービスが実行できてしまう脆弱性が存在します。
(CVE-2019-16943)

- FasterXML の jackson-databind には Polymorphic Typing の問題があり、
外部に公開された JSON エンドポイントに対してDefault Typingが(全体、又は
特定のプロパティに対して)有効で、サービスが apache-log4j-extra(バージョン
1.2.x)の jar ファイルをクラスパスに持ち、かつ攻撃者がアクセス可能な JDNI
サービスを提供できる場合、 悪意のあるペイロードをサービスが実行できてしまう
脆弱性が存在します。(CVE-2019-17531)

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. jss-4.6.2-6.0.1.module+el8+140+50b09209.src.rpm
    MD5: 79d687a6652e86f7444af4ab7189c812
    SHA-256: 67e7339f6d45441364634b6d7f42e5a41383d989089b1411de3545b5e61daabf
    Size: 871.17 kB
  2. ldapjdk-4.21.0-2.module+el8+140+50b09209.src.rpm
    MD5: a68338226aad763723cb65a987c3f440
    SHA-256: adbeb3090eba808933b4ebea2c654462dc4308959b00b8d49eff7efd90d6800d
    Size: 2.83 MB
  3. pki-core-10.8.3-2.module+el8+140+50b09209.src.rpm
    MD5: b1ff11a7f09f80cf29e1813230eaa7c8
    SHA-256: 2aad1dcdb946f7f4c0e06e4603594d0f3fba61798c44fc51c32ca8112bd50ba2
    Size: 7.01 MB
  4. tomcatjss-7.4.1-2.module+el8+140+50b09209.src.rpm
    MD5: 558aa08ec03fb74fded1b1d121186ddf
    SHA-256: 5ea03e4badb8dffa19607ac1e5e8017d35ec4c4d1b8b13d17074f2d56e09cd49
    Size: 49.12 kB

Asianux Server 8 for x86_64
  1. jss-4.6.2-6.0.1.module+el8+140+50b09209.x86_64.rpm
    MD5: 00066c8b01b42e2c94cdcc3df1e70e33
    SHA-256: 941d5b84c3f4fab6b2ed563ec408f7f097d9c68cf3082f53b7a3c937c1d04665
    Size: 1.06 MB
  2. jss-debugsource-4.6.2-6.0.1.module+el8+140+50b09209.x86_64.rpm
    MD5: e8ff0c614e83ba3dc289d3cf70e8538f
    SHA-256: d3c765d18d8eb81eb16d0a286bfed60b225a33fc09e1a52c4f69d46bc77c3860
    Size: 125.41 kB
  3. jss-javadoc-4.6.2-6.0.1.module+el8+140+50b09209.x86_64.rpm
    MD5: 0482c6cc9e908f67e81da817ee858c3f
    SHA-256: 7c7e0ec9f942669822805db4e85ed2f4e2738e41816c0380234842c48ee0279a
    Size: 873.43 kB
  4. ldapjdk-4.21.0-2.module+el8+140+50b09209.noarch.rpm
    MD5: f45975bcb6a0b5ebc42c9ca68b5dff1d
    SHA-256: e547a9522817499b982402a27bdb0203243719c82596fd1e8ea79af7c03218b7
    Size: 321.51 kB
  5. ldapjdk-javadoc-4.21.0-2.module+el8+140+50b09209.noarch.rpm
    MD5: 5511f69a9aea2a321672c4866d217b41
    SHA-256: 77729c5d64ce437d3fdfd9db0474d466cd088b16a2ec981d4661a68777dd8c91
    Size: 48.70 kB
  6. pki-base-10.8.3-2.module+el8+140+50b09209.noarch.rpm
    MD5: e34b038c58846c9588d93141ff69019c
    SHA-256: 71e4ada7353fd0b6371d3fbef7e0aa3ec82a8417184271ea6de061fc2252dab4
    Size: 288.98 kB
  7. pki-base-java-10.8.3-2.module+el8+140+50b09209.noarch.rpm
    MD5: d5faa5a64120db096600d1373ddc8a97
    SHA-256: 5a83fd7ebd099d644456bac12c265fab5fb54516357f3458551155c470381850
    Size: 702.21 kB
  8. pki-ca-10.8.3-2.module+el8+140+50b09209.noarch.rpm
    MD5: 3a078f080a9699ffd6e9043d0452ea50
    SHA-256: 68b3a3e283266d70b9b3ebde97231f20c09cd6638db463f3addbaf21dc204636
    Size: 554.42 kB
  9. pki-core-debugsource-10.8.3-2.module+el8+140+50b09209.x86_64.rpm
    MD5: ac6abae3fb8029b55256e156af8b021f
    SHA-256: 371830f54dc2a2286c3a23184fe751227bd60be078ceaafff2356e70f38f5f7b
    Size: 360.24 kB
  10. pki-kra-10.8.3-2.module+el8+140+50b09209.noarch.rpm
    MD5: e8a65c8e931a1e22529357fc06195bf5
    SHA-256: cc33c953d5be8e5ac582b0f5a514d4f3258adeb90855c0ffa4c15b64f22049d5
    Size: 194.61 kB
  11. pki-server-10.8.3-2.module+el8+140+50b09209.noarch.rpm
    MD5: d17fc0050be08f81937e4627c320a33d
    SHA-256: 7320be4406bfde1d60595a9926889deacc06393da99bff01921662e2c7bfa757
    Size: 2.98 MB
  12. pki-symkey-10.8.3-2.module+el8+140+50b09209.x86_64.rpm
    MD5: 15ef64cfe42bc84117d63432ba2614df
    SHA-256: 7ae977c63cf7eed6ea3af1c32b403c44210a45f1cfcc128da5c2320495076e51
    Size: 51.83 kB
  13. pki-tools-10.8.3-2.module+el8+140+50b09209.x86_64.rpm
    MD5: 00a93dbd5fd3ae14aa557d14bd8ac071
    SHA-256: c2528585a341853648377b283d9f2ceb02c381baa22da85a29768f5e04840a60
    Size: 707.82 kB
  14. python3-pki-10.8.3-2.module+el8+140+50b09209.noarch.rpm
    MD5: d5356fa17619dab1cd1db9a68944109e
    SHA-256: 7804b29ca0d3de9b7210e96924090ca42f6f44e1cccbd2edb4b4859124ded6c9
    Size: 158.09 kB
  15. tomcatjss-7.4.1-2.module+el8+140+50b09209.noarch.rpm
    MD5: 85929b218e617337831cb7fb0064e5ec
    SHA-256: 183b7887887a46c48abaf6571d435522412b00dcb5512900bcf0255a2fc6b8ec
    Size: 43.42 kB
Copyright© 2007-2015 Asianux. All rights reserved.