リモート Redhat Enterprise Linux 6 ホストに、RHSA-2016:0596 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 6 は、JBoss Application Server 7 をベースにした Java アプリケーション用のプラットフォームです。

    このリリースは、Red Hat JBoss Enterprise Application Platform 6.4.6 を置き換え、バグ修正と拡張機能が含まれています。これらの変更についてのドキュメントは、「参照」でリンクされている、Red Hat JBoss Enterprise Application Platform 6.4.7 のリリースノートから、間もなく使用できます。

    セキュリティ修正プログラム:

    * SSL ハンドシェイクを処理する HTTPS NIO コネクタに、読み取りタイムアウトの欠陥が見つかりました。認証されていないリモートの攻撃者がソケットを作成して、ソケットが開いたままの状態になっている間無期限にスレッドを占有させる可能性があります (サービス拒否)。(CVE-2016-2094)

    * 大きなリクエスト本文をもつリクエストの処理後、Tomcat が接続をオープンにしたままにすることが判明しました。リモートの攻撃者がこの欠陥を利用して利用可能な接続のプールを使い果たし、これから確立される Tomcat サーバーへのさらなる正当な接続を妨げる可能性があります。
    (CVE-2014-0230)

    CVE-2016-2094 の問題は、Red Hat の Aaron Ogburn 氏により発見されました。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

RHEL 6 : Red Hat JBoss Enterprise Application Platform 6.4.7 の更新プログラム (重要度中) (RHSA-2016:0596)

high Nessus プラグイン ID 90389

バージョン 2.13