更新プログラムが、RHEL 6のRed Hat JBoss Enterprise Application Platform 6.4およびRHEL 7のRed Hat JBoss Enterprise Application Platform 6.4で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高として評価しています。詳細な重要度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。［2017年11月21日更新］以前は、このエラッタはJBoss Enterprise Application Platform 6.4.16ネイティブの置き換えとしてマーキングされていました。これは正しくありませんでした。エラッタは更新プログラムであり、置き換えではありません。これを反映するようにエラッタのテキストが修正されました。Red Hat JBoss Enterprise Application Platformは、JBoss Application ServerをベースにしたJavaアプリケーション用のプラットフォームです。このリリースでは、httpdとOpenSSLの更新プログラムが提供されています。更新プログラムは、「参照」でリンクされているリリースノートでドキュメント化されています。httpdパッケージにより、強力で効率の良い、拡張可能なWebサーバーである、Apache HTTPサーバーが提供されます。OpenSSLは、SSL（Secure Sockets Layer）プロトコルおよびTLS（Transport Layer Security）プロトコル、全強度の汎用暗号ライブラリを実装するツールキットです。JBoss Enterprise Application Platform 6.4.18 Nativesのこのリリースは、JBoss Enterprise Application Platform 6.4.16 Nativesの更新プログラムとして機能し、「参照」でリンクされているリリースノートにドキュメント化されているバグ修正が含まれています。Red Hat JBoss Enterprise Application Platform 6.4 Nativesの全ユーザーは、これらの更新済みのパッケージにアップグレードすることが推奨されます。セキュリティ修正プログラム：* httpdのmod_auth_digestモジュールが、ダイジェスト認証に関連する特定のヘッダーを処理するときに、メモリを適切に初期化せずに使用していたことがわかりました。リモートの攻撃者がこの欠陥を使用し、特別に細工されたリクエストをサーバーに送信して秘密情報を漏えいさせたり、httpdの子プロセスをクラッシュさせたりする可能性があります。（CVE-2017-9788）* DES/3DES暗号がTLS/SSLプロトコルの一部として使用される方法に欠陥が見つかりました。通信でDES/3DESベースの暗号スイートが使用されていた場合、中間にいる攻撃者がこの欠陥を悪用して、TLS/SSLサーバーとクライアントの間で大量の暗号化されたトラフィックをキャプチャすることにより、平文データを復元する可能性があります。（CVE-2016-2183）* httpdが無効な未登録のHTTPメソッド（.htaccessファイルで使用されるLimitディレクティブで指定されている）を処理する方法に、メモリ解放後使用（Use After Free）の欠陥があることがわかりました。リモートの攻撃者がこの欠陥を利用し、サーバーメモリの一部漏えいしたり、httpdの子プロセスをクラッシュさせたりする可能性があります。（CVE-2017-9798）Red HatはCVE-2016-2183を報告してくれたOpenVPNと、CVE-2017-9798を報告してくれたHanno Bock氏に感謝の意を表します。アップストリームは、Karthikeyan Bhargavan氏（Inria）とGaetan Leurent氏（Inria）をCVE-2016-2183の最初の報告者として認めています。バグ修正プログラム：* OpenSSL 1.0.2での非常に大きなCRLのCRLチェックの失敗（BZ#1508880）* 誤って生成されたアセンブラ命令movslqによる、process_info()でのmod_clusterのセグメンテーション違反（BZ#1508884）* 複数のコアダンプのそれぞれ異なる機能でnodestatsmemが破損。（BZ#1508885）

検出

RHEL 6/7：JBoss EAP（RHSA-2017:3240）（Optionsbleed）

critical Nessus プラグイン ID 104699

バージョン 3.13