リモート Redhat Enterprise Linux 6 / 7 ホストに、RHSA-2018:1249 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    * eap7-jboss-ec2-eapパッケージは、Amazon Web Services（AWS）Elastic Compute Cloud（EC2）で実行するRed Hat JBoss Enterprise Application Platform用のスクリプトを提供します。

    この更新プログラムにより、Red Hat JBoss Enterprise Application Platform 7.1.2との互換性を確保するためにeap7-jboss-ec2-eapパッケージが更新されています。

    このリリースに含まれる最も重要なバグ修正と拡張機能については、「参照」セクションでリンクされている『JBoss Enterprise Application Platform 7.1リリースノート』を参照してください。

    セキュリティ修正プログラム: 

    * undertow：UTF-8 エンコーディングで CRLF を使用する HTTP ヘッダーインジェクション（の不完全な修正 CVE-2016-4993）（CVE-2018-1067）

    * wildfly-undertow：undertow：ServletResourceManager クラスでのパストラバーサル（CVE-2018-1047）

    * slf4j: EventData コンストラクターのシリアル化解除の脆弱性により、任意のコードが実行される可能性があります (CVE-2018-8088)

    Red Hatは、 CVE-2018-1067を報告してくれたAmmarit Thongthua氏とNattakit Intarasorn氏（Deloitte Thailand Pentestチーム）、 CVE-2018-8088を報告してくれたChris McCown氏に感謝の意を表します。

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

RHEL 6/7：EAP 用の jboss-ec2-eap パッケージ 7.1.2 （重要度高）（RHSA-2018:1249）

critical Nessus プラグイン ID 109390

バージョン 1.8

バージョン 1.7

バージョン 1.8 Oct 22, 2024, 8:01 AM Exploit attributes ("Exploit available" set to "False") Exploit attributes ("Exploitability ease" set to "No known exploits are available") Plugin Feed: 202410220801
バージョン 1.7 Apr 28, 2024, 3:17 AM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:U/RL:OF/RC:C") CVSS temporal metrics ("CVSSv3 temporal vector" set to "CVSS:3.0/E:U/RL:O/RC:C") CVSSv2 score source (set to "CVE-2018-8088") Detection (updated detection logic) Plugin metadata Reference Plugin Feed: 202404280317