検出

RHEL 6:jboss-ec2-eap(RHSA-2016:0124)

high Nessus プラグイン ID 88588

Language:

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

1 つの機能強化を追加し 1 つのセキュリティ問題を解決する jboss-ec2-eap の更新済みパッケージが、Red Hat Enterprise Linux 6 の Red Hat JBoss Enterprise Application Platform 6.4.6 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高として評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。

Red Hat JBoss Enterprise Application Platform 6 は、Java EE アプリケーション用のプラットフォームです。JBoss Application Server 7 をベースにしており、完全な Java EE プラットフォームソリューションを提供するために複数のオープンソースプロジェクトが組み込まれています。

Java Standard Tag Library(JSTL)により、信頼されていない XML ドキュメントの処理が外部エンティティリファレンスを利用できることが判明しました。これにより、ホストシステム上のリソースにアクセスでき、任意のコードが実行される可能性があります。(CVE-2015-0254)

注:Tag Library ユーザーは、この更新を適用した後に、追加手順を施行する必要があります。追加手順についての詳細な説明は、次に記載されています:https://access.redhat.com/solutions/1584363

Red Hat は、CVE-2015-0254 の欠陥を報告してくれた IIX の David Jorm 氏および Apache Software Foundation に感謝の意を表します。

* jboss-ec2-eap パッケージは、Amazon Web Services(AWS)Elastic Compute Cloud(EC2)で実行する Red Hat JBoss Enterprise Application Platform 用のスクリプトを提供します。この更新により、Red Hat JBoss Enterprise Application Platform 6.4.6 との互換性を確保するためにパッケージが更新されています。

EAP 6.4.5 jboss-ec2-eap の全ユーザーは、これらの更新済みパッケージにアップグレードすることが推奨されます。

ソリューション

影響を受ける jboss-ec2-eap and / or jboss-ec2-eap-samples パッケージを更新してください。

参考資料

https://access.redhat.com/documentation/en-US/

https://access.redhat.com/solutions/1584363

https://access.redhat.com/errata/RHSA-2016:0124

https://access.redhat.com/security/cve/cve-2015-0254

プラグインの詳細

深刻度: High

ID: 88588

ファイル名: redhat-RHSA-2016-0124.nasl

バージョン: 2.14

タイプ: local

エージェント: unix

公開日: 2016/2/5

更新日: 2021/6/3

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.7

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:jboss-ec2-eap, p-cpe:/a:redhat:enterprise_linux:jboss-ec2-eap-samples, cpe:/o:redhat:enterprise_linux:6

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2016/2/4

脆弱性公開日: 2015/3/9

参照情報

CVE: CVE-2015-0254

IAVA: 2016-A-0266-S

RHSA: 2016:0124