RHEL 6：jboss-ec2-eap（RHSA-2017:1552）

high Nessus プラグイン ID 100949

Language:

概要

リモートのRed Hatホストに1つ以上のセキュリティ更新プログラムがありません。

説明

jboss-ec2-eap用の更新プログラムが、Red Hat Enterprise Linux 6対応のRed Hat JBoss Enterprise Application Platform 6.4で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中と評価しています。詳細な重要度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。jboss-ec2-eapパッケージは、Amazon Web Services（AWS）Elastic Compute Cloud（EC2）で実行するRed Hat JBoss Enterprise Application Platform用のスクリプトを提供します。この更新プログラムにより、Red Hat JBoss Enterprise Application Platform 6.4.16との互換性を確保するためにjboss-ec2-eapパッケージが更新されています。セキュリティ修正プログラム：* Red Hat JBoss Enterprise Application 6および7のログファイルビューアーでは、パストラバーサルを介して認証されたユーザーが任意のファイルを読み取る可能性があることがわかりました。（CVE-2017-2595）* 悪意のあるWebアプリケーションが、Webアプリケーションにアクセス可能なTomcatユーティリティメソッドを介して、設定されたSecurityManagerをバイパスする可能性があることがわかりました。（CVE-2016-5018）* 悪意のあるWebアプリケーションが、JSP Servletの構成パラメーターを操作して設定されたSecurityManagerをバイパスする可能性があることがわかりました。（CVE-2016-6796）

ソリューション

影響を受けるjboss-ec2-eapやjboss-ec2-eap-samplesパッケージを更新してください。

参考資料

https://access.redhat.com/documentation/en-us/

https://access.redhat.com/errata/RHSA-2017:1552

https://access.redhat.com/security/cve/cve-2016-5018

https://access.redhat.com/security/cve/cve-2016-6796

https://access.redhat.com/security/cve/cve-2017-2595

プラグインの詳細

深刻度: High

ID: 100949

ファイル名: redhat-RHSA-2017-1552.nasl

バージョン: 3.12

タイプ: local

エージェント: unix

ファミリー: Red Hat Local Security Checks

公開日: 2017/6/21

更新日: 2019/10/24

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus