Red Hat JBoss Enterprise Application Platform 6.4.10 ネイティブを提供し、いくつかのバグを修正し、さまざまな拡張機能を追加する更新済みパッケージが、Red Hat Enterprise Linux 6 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中と評価しています。詳細な重要度評価を示す CVSS (共通脆弱性評価システム) ベーススコアは、「参照」セクションの CVE リンクから脆弱性ごとに入手できます。

Red Hat JBoss Enterprise Application Platform 6 は、JBoss Application Server 7 をベースにした Java アプリケーション用のプラットフォームです。

このリリースにはバグ修正プログラムと機能強化のほか、OpenSSL の新しいリリースが含まれています。詳細については、「参照」セクションでリンクされているナレッジベースの記事を参照してください。Red Hat Enterprise Linux 6 の Red Hat JBoss Enterprise Application Platform 6.4 のすべてのユーザーには、これらの更新済みパッケージにアップグレードすることをお勧めします。この更新プログラムを有効にするには、JBoss サーバープロセスを再起動する必要があります。

セキュリティ修正プログラム:

* httpd が HTTP リクエストを解析し、チャンク転送エンコーディングを使用して応答する方法で、複数の欠陥が見つかりました。リモートの攻撃者がこれらの欠陥を悪用して、特別に細工されたリクエストを作成し、httpdにHTTPプロキシソフトウェアとは異なる方法でデコードさせ、HTTPリクエストスマグリング攻撃を引き起こす可能性があります。（CVE-2015-3183）

* サービスメッセージ (MCMP) を介して特別に細工された文字列を mod_cluster に送信することにより、リモートで Apache http サーバーにセグメンテーション違反を発生させることが可能であることがわかりました。(CVE-2016-3110)

* JVMRoute パスが 80 文字を超える構成を指定すると、セグメンテーション違反が発生し、サーバーのクラッシュを引き起こすことがわかりました。(CVE-2016-4459)

Red Hatは、CVE-2016-3110を報告してくれたMichal Karm Babacek氏に感謝の意を表します。CVE-2016-4459の問題は、Robert Bost氏（Red Hat）により発見されました。

検出

RHEL 6：JBoss EAP（RHSA-2016:2055）

high Nessus プラグイン ID 94066

バージョン 2.11