Red Hat JBoss CoreサービスパックApache Server 2.4.37を提供し、いくつかのバグを修正し、さまざまな拡張機能を追加した更新済みのパッケージが、Red Hat Enterprise Linux 6で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重大度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。このリリースでは、JBoss Core Services製品の一部である新しいApache HTTP Server 2.4.37パッケージが追加されました。このリリースは、Red Hat JBoss Core Services Pack Apache Server 2.4.29を置き換え、バグ修正プログラムおよび拡張機能を提供します。このリリースに含まれる最も重要なバグ修正プログラムおよび拡張機能については、リリースノートを参照してください。セキュリティ修正プログラム：* openssl：crypto/rsa/rsa_gen.cのRSAキー生成キャッシュタイミングの脆弱性により、攻撃者は秘密鍵を復元できます（CVE-2018-0737）* openssl：DSA署名アルゴリズムのタイミングサイドチャネル攻撃（CVE-2018-0734）* mod_auth_digest：競合状態によるアクセス制御のバイパス（CVE-2019-0217） * openssl：SMT/Hyper-Threadingアーキテクチャのサイドチャネル攻撃の脆弱性（PortSmash）（CVE-2018-5407）* mod_session_cookieが有効期限を考慮しない （CVE-2018-17199）* mod_http2：DoS via 遅延された不要なリクエスト本体を通じたDoS（CVE-2018-17189）* mod_http2：最新版へのアップグレードでクラッシュする可能性（CVE-2019-0197）* mod_http2：文字列比較でのメモリ解放後読み取り（CVE-2019-0196）* nghttp2：HTTP/2：大量のデータリクエストがサービス拒否を引き起こす可能性（CVE-2019-9511）* nghttp2：HTTP/2：PRIORITYフレームを使用したフラッディングによる、リソースの過剰消費（CVE-2019-9513）* mod_http2：HTTP/2：長さ0のヘッダーがサービス拒否を引き起こす（CVE-2019-9516）* mod_http2：HTTP/2：大きな応答を要求するとサービス拒否を引き起こす（CVE-2019-9517）影響、CVSSスコア、謝辞、その他の関連情報を含むセキュリティの問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。

検出

RHEL 6：JBoss Core Services（RHSA-2019:3932）（0-Length Headers Leak）（Data Dribble）（Internal Data Buffering）（Resource Loop）

high Nessus プラグイン ID 131215

バージョン 1.3