RHEL 6：jboss-ec2-eap（RHSA-2016:0598）

high Nessus プラグイン ID 90390

Language:

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

jboss-ec2-eap の更新が、Red Hat Enterprise Linux 6 の Red Hat JBoss Enterprise Application Platform 6.4.7 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System（CVSS）ベーススコアは、「参照」セクションで CVE リンクから脆弱性ごとに入手できます。

Red Hat JBoss Enterprise Application Platform 6 は、JBoss Application Server 7 をベースにした Java アプリケーション用のプラットフォームです。

jboss-ec2-eap パッケージは、Amazon Web Services（AWS）Elastic Compute Cloud（EC2）で実行する Red Hat JBoss Enterprise Application Platform 用のスクリプトを提供します。この更新により、Red Hat JBoss Enterprise Application Platform 6.4.7 との互換性を確保するためにパッケージが更新されています。

セキュリティ修正：

* SSL ハンドシェイクを処理する HTTPS NIO コネクタに、読み取りタイムアウトの欠陥が見つかりました。認証されていないリモートの攻撃者がソケットを作成して、ソケットが開いたままの状態になっている間無期限にスレッドを占有させる可能性があります（サービス拒否）。（CVE-2016-2094）

* 大きなリクエスト本文をもつリクエストの処理後、Tomcat が接続をオープンにしたままにすることが判明しました。リモートの攻撃者がこの欠陥を利用して利用可能な接続のプールを使い果たし、これから確立される Tomcat サーバーへのさらなる正当な接続を妨げる可能性があります。（CVE-2014-0230）

CVE-2016-2094 の問題は、Red Hat の Aaron Ogburn 氏により発見されました。

ソリューション

影響を受ける jboss-ec2-eap and / or jboss-ec2-eap-samples パッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2016:0598

https://access.redhat.com/security/cve/cve-2014-0230

https://access.redhat.com/security/cve/cve-2016-2094

プラグインの詳細

深刻度: High

ID: 90390

ファイル名: redhat-RHSA-2016-0598.nasl

バージョン: 2.12

タイプ: local

エージェント: unix

ファミリー: Red Hat Local Security Checks

公開日: 2016/4/7

更新日: 2019/10/24

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus