RHEL 6：jboss-ec2-eap（RHSA-2017:0829）

high Nessus プラグイン ID 97909

Language:

概要

リモートのRed Hatホストに1つ以上のセキュリティ更新プログラムがありません。

説明

jboss-ec2-eap用の更新プログラムが、RHEL 6対応のRed Hat JBoss Enterprise Application Platform 6.4で現在利用可能です。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重要度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。jboss-ec2-eapパッケージは、Amazon Web Services（AWS）Elastic Compute Cloud（EC2）で実行するRed Hat JBoss Enterprise Application Platform用のスクリプトを提供します。この更新プログラムにより、Red Hat JBoss Enterprise Application Platform 6.4.14との互換性を確保するためにjboss-ec2-eapパッケージが更新されています。セキュリティ修正プログラム：* Red Hat Enterprise Linuxの特定のバージョンのEAPパッケージで、/etc/sysconfig/jbossas設定ファイルに対して不適切なアクセス許可が使用されていることがわかりました。ファイルはjbossグループに書き込み可能です（root:jboss、664）。従来の/etc/init.dの初期化スクリプト（Red Hat Enterprise Linux 6以前などの）を使用しているシステムでは、jbossサービスが起動、停止、または再起動されたときに、ファイルがjboss 初期化スクリプトにより供給され、root権限でそのコンテンツが実行されます。（CVE-2016-8657）* Apache TomcatサーブレットとJSPエンジンでのHTTPSリクエスト処理のプログラミングエラーにより、無限ループによるサービス拒否状態が発生する可能性があることがわかりました。（CVE-2017-6056）* RESTEasyで必ずしも必要ではないときに、GZIPInterceptorが有効になっていることがわかりました。攻撃者がこの欠陥を悪用して、DoS攻撃（サービス拒否攻撃）を引き起こす可能性があります。（CVE-2016-6346）Red Hatは、CVE-2016-6346の問題を報告してくれたMikhail Egorov氏（Odin）に感謝の意を表します。

ソリューション

影響を受けるjboss-ec2-eapやjboss-ec2-eap-samplesパッケージを更新してください。

参考資料

https://access.redhat.com/documentation/en-us/

https://access.redhat.com/errata/RHSA-2017:0829

https://access.redhat.com/security/cve/cve-2016-6346

https://access.redhat.com/security/cve/cve-2016-8657

https://access.redhat.com/security/cve/cve-2017-6056

プラグインの詳細

深刻度: High

ID: 97909

ファイル名: redhat-RHSA-2017-0829.nasl

バージョン: 3.10

タイプ: local

エージェント: unix

ファミリー: Red Hat Local Security Checks

公開日: 2017/3/23

更新日: 2019/10/24

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus