eap7-jboss-ec2-eapの更新プログラムが、Red Hat Enterprise Linux 6対応のRed Hat JBoss Enterprise Application Platform 7.1およびRed Hat Enterprise Linux 7対応のRed Hat JBoss Enterprise Application Platform 7.1で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重要度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。* eap7-jboss-ec2-eapパッケージは、Amazon Web Services（AWS）Elastic Compute Cloud（EC2）で実行するRed Hat JBoss Enterprise Application Platform用のスクリプトを提供します。この更新プログラムにより、Red Hat JBoss Enterprise Application Platform 7.1との互換性を確保するためにeap7-jboss-ec2-eapパッケージが更新されています。このリリースに含まれる最も重要なバグ修正と拡張機能については、「参照」セクションでリンクされている『JBoss Enterprise Application Platform 7.1リリースノート』を参照してください。セキュリティ修正プログラム：*長いリクエストがEAP 7に送信されるとき、サービス拒否が起こる可能性があります。（CVE-2016-7046）* jboss initスクリプトの安全でないファイル処理により、ローカルの権限昇格が発生。（CVE-2016-8656）*ObjectMapperのreadValueメソッドを介した逆シリアル化脆弱性により任意のコードが実行される可能性。（CVE-2017-7525）* JMSObjectMessageが悪意のあるオブジェクトを逆シリアル化し、リモートでコードが実行される可能性があります。（CVE-2016-4978）* Undertowは任意のHTTPヘッダのインジェクションおよびレスポンス分割に対して脆弱です。（CVE-2016-4993）*ドメインコントローラーが管理RBAC構成を一部のスレーブに反映しないため、一部のスレーブが権限昇格を引き起こす可能性があります。（CVE-2016-5406）*リクエストヘッダーのHostフィールドが設定されていないときにリダイレクト時に漏えいされる内部IPアドレス。（CVE-2016-6311）*サーバーログファイルに対するGETリクエストを介した潜在的なEAPリソース枯渇DOS攻撃。（CVE-2016-8627）*非効率なヘッダーキャッシュはサービス拒否を引き起こす可能性があります。（CVE-2016-9589）*ログファイルビューアーによってパストラバーサルを介して認証されたユーザーが任意のファイルを読み込む可能性があります。（CVE-2017-2595）* HTTPリクエストで無効な文字を許可することによるHTTPリクエストのスマグリングの脆弱性。（CVE-2017-2666）* Websocketが正常に閉じられない場合、IOスレッドがループで動かなくなる可能性があります。（CVE-2017-2670）* Hibernate Validatorに付与されたときのセキュリティマネージャのリフレクティブパーミッションによる権限昇格。（CVE-2017-7536）* Undertowが異常な空白でhttpヘッダーを解析することによるhttpリクエストの潜在的なスマグリング。（CVE-2017-7559）*管理およびアプリケーションレルムのプロパティベースのファイルは全ユーザーに読み取り可能なため、システムにログインしているすべてのユーザーが、ユーザーおよびロール情報にアクセスする可能性があります。（CVE-2017-12167）* RBAC設定により、監視ロールを持つユーザが秘密情報を表示する可能性があります。（CVE-2016-7061）*HTTPリクエストのスマグリングを引き起こす不適切な空白解析。（CVE-2017-12165）Red HatはCVE-2017-7525を報告してくれたLiao Xinxi（NSFOCUS）、CVE-2016-4993を報告してくれたCalum Hutton氏（NCC Group）およびMikhail Egorov（Odin）、CVE-2016-6311を報告してくれたLuca Bueti氏、CVE-2016-9589を報告してくれたGabriel Lavoie氏（Halogen Software）、CVE-2017-2670を報告してくれたGregory Ramsperger氏およびRyan Moak氏に感謝の意を表します。CVE-2016-5406問題はTomaz Cerar氏（Red Hat）によって発見されました。CVE-2016-8627問題はDarran Lofthouse氏（Red Hat）とBrian Stansberry氏（Red Hat）によって発見されました。CVE-2017-2666問題はRadim Hatlapatka氏（Red Hat）によって発見されました。CVE-2017-7536問題はGunnar Morling氏（Red Hat）によって発見されました。CVE-2017-7559およびCVE-2017-12165の問題はStuart Douglas氏（Red Hat）によって発見されました。そしてCVE-2017-12167の問題はBrian Stansberry氏（Red Hat）とJeremy Choi氏（Red Hat）によって発見されました。アップストリームは、WildFlyをCVE-2016-6311の最初の報告者として認めます。

検出

RHEL 6/7：eap7-jboss-ec2-eap（RHSA-2017:3458）

critical Nessus プラグイン ID 105252

バージョン 3.12