RHEL 6：jboss-ec2-eap（RHSA-2016:1432）

critical Nessus プラグイン ID 92401

Language:

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

jboss-ec2-eap の更新が、Red Hat Enterprise Linux 6 の Red Hat JBoss Enterprise Application Platform 6.4.0 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度最高として評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System（CVSS）ベーススコアは、「参照」セクションで CVE リンクから脆弱性ごとに入手できます。

Red Hat JBoss Enterprise Application Platform 6 は、JBoss Application Server 7 をベースにした Java アプリケーション用のプラットフォームです。

jboss-ec2-eap パッケージは、Amazon Web Services（AWS）Elastic Compute Cloud（EC2）で実行する Red Hat JBoss Enterprise Application Platform 用のスクリプトを提供します。この更新により、Red Hat JBoss Enterprise Application Platform 6.4.9 との互換性を確保するためにパッケージが更新されています。

セキュリティ修正：

* JGroups が、クラスターに参加する新しいノードから、暗号化と認証プロトコルに必要なヘッダーを必要としないことが判明しました。攻撃者がこの欠陥を利用して、セキュリティ制限をバイパスし、この脆弱性を利用してクラスター内でメッセージを送受信する可能性があります。これにより、情報漏洩、メッセージスプーフィング、または実行可能なさらなる攻撃につながります。（CVE-2016-2141）

この脆弱性の詳細については、次の URL を参照してください：
https://access.redhat.com/articles/2360521

* ディレクトリトラバーサルの欠陥が Tomcat と JBoss Web の RequestUtil.java で見つかりました。リモートの認証されたユーザーがこの欠陥を利用し、意図された SecurityManager 制限をバイパスし、$CATALINA_BASE/webapps ディレクトリが提示するように getResource、getResourceAsStream、または getResourcePaths のコールの Web アプリケーションが使用するパス名の「/..」を通じて親ディレクトリを一覧表示する可能性があります。（CVE-2015-5174）

CVE-2016-2141 の問題は、Dennis Reed 氏（Red Hat）により発見されました。

ソリューション

影響を受ける jboss-ec2-eap and / or jboss-ec2-eap-samples パッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2016:1432

https://access.redhat.com/security/cve/cve-2015-5174

https://access.redhat.com/security/cve/cve-2016-2141

プラグインの詳細

深刻度: Critical

ID: 92401

ファイル名: redhat-RHSA-2016-1432.nasl

バージョン: 2.14

タイプ: local

エージェント: unix

ファミリー: Red Hat Local Security Checks

公開日: 2016/7/19

更新日: 2019/10/24

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus