RHEL 5：JBoss EAP（RHSA-2013:1784）

medium Nessus プラグイン ID 71900

Language:

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

2 つのセキュリティ問題と複数のバグを修正し、さまざまな拡張機能を追加する Red Hat JBoss Enterprise Application Platform 6.2.0 の更新が、Red Hat Customer Portal から現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響は小さいと評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System （CVSS）のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

Red Hat JBoss Enterprise Application Platform 6 は、JBoss Application Server 7 をベースにした Java アプリケーション用のプラットフォームです。

ネイティブライブラリが JAR ファイルにバンドルされており、カスタムのライブラリパスが指定されていないとき、HawtJNI Library クラスがネイティブライブラリを /tmp/ の中の予測可能なファイル名に書き込みます。HawtJNI が書き込む時とそれらが実行される時の間に、ローカルの攻撃者が、悪意のあるバージョンで、これらのネイティブライブラリを上書きする恐れがあります。
（CVE-2013-2035）

JAX-WS Service エンドポイントのメソッドレベルの承認が EJB 呼び出しハンドラーの実装により実行される方法で、欠陥が見つかりました。JAX-WS ハンドラーを実行するときに、EJB メソッドで宣言される制限が無視され、クラスレベルの制限だけが適用されます。EJB にアクセスする権限のあるリモートの攻撃者が、呼び出す権限のない JAX-WS ハンドラーを呼び出す恐れがあります。（CVE-2013-2133）

CVE-2013-2035 の問題は Red Hat 製品セキュリティチームの Florian Weimer 氏により発見し、CVE-2013-2133 の問題は、Red Hat の Richard Opalka 氏と Arun Neelicattu 氏により発見していました。

このリリースは JBoss Enterprise Application Platform 6.1.1 の代替であり、バグ修正および拡張機能を含んでいます。これらの変更についてのドキュメントは、リファレンスでリンクされている、JBoss Enterprise Application Platform 6.2.0 のリリースノートから間もなく入手できます。

Red Hat カスタマーポータルで提供されている Red Hat JBoss Enterprise Application Platform 6.2.0 の全ユーザーは、この更新を適用することが推奨されます。この更新を有効にするには、 JBoss サーバープロセスを再起動する必要があります。

このプラグインは、NFS、AFS、SMBFS、CIFS のリモートファイルシステムタイプにおいて、JBoss インストールをチェックしません。