Tomcatで特定のHTTPリクエストが不適切に処理されることがわかりました。リモートの攻撃者がこの問題を悪用してTomcatにリソースを消費させ、サービス拒否を引き起こす可能性があります。

注意: Tenable Network Security は、前述の説明ブロックを Ubuntu セキュリティアドバイザリからすでに直接抽出しています。Tenable では、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

jboss-ec2-eap用の更新プログラムが、RHEL 6対応のRed Hat JBoss Enterprise Application Platform 6.4で現在利用可能です。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重要度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。jboss-ec2-eapパッケージは、Amazon Web Services（AWS）Elastic Compute Cloud（EC2）で実行するRed Hat JBoss Enterprise Application Platform用のスクリプトを提供します。この更新プログラムにより、Red Hat JBoss Enterprise Application Platform 6.4.14との互換性を確保するためにjboss-ec2-eapパッケージが更新されています。セキュリティ修正プログラム：* Red Hat Enterprise Linuxの特定のバージョンのEAPパッケージで、/etc/sysconfig/jbossas設定ファイルに対して不適切なアクセス許可が使用されていることがわかりました。ファイルはjbossグループに書き込み可能です（root:jboss、664）。従来の/etc/init.dの初期化スクリプト（Red Hat Enterprise Linux 6以前などの）を使用しているシステムでは、jbossサービスが起動、停止、または再起動されたときに、ファイルがjboss 初期化スクリプトにより供給され、root権限でそのコンテンツが実行されます。（CVE-2016-8657）* Apache TomcatサーブレットとJSPエンジンでのHTTPSリクエスト処理のプログラミングエラーにより、無限ループによるサービス拒否状態が発生する可能性があることがわかりました。（CVE-2017-6056）* RESTEasyで必ずしも必要ではないときに、GZIPInterceptorが有効になっていることがわかりました。攻撃者がこの欠陥を悪用して、DoS攻撃（サービス拒否攻撃）を引き起こす可能性があります。（CVE-2016-6346）Red Hatは、CVE-2016-6346の問題を報告してくれたMikhail Egorov氏（Odin）に感謝の意を表します。

Apache Tomcat サーブレットと JSP エンジンでの HTTPS リクエスト処理のプログラミングエラーにより、無限ループによるサービス拒否状態が発生する可能性があることがわかりました。

DLA-823-1 として発行された tomcat7 の更新によって、特定の状況でサーバーが HTTP 400 エラーを返す可能性があります。この問題を修正する更新済みパッケージを利用できます。参照内容については、オリジナルのアドバイザリテキストが準拠しています。Apache Tomcat サーブレットと JSP エンジンでの HTTPS リクエスト処理のプログラミングエラーにより、無限ループによるサービス拒否状態が発生する可能性があることがわかりました。Debian 7 'Wheezy' では、これらの問題はバージョン 7.0.28-4+deb7u11 で修正されています。tomcat7 パッケージをアップグレードすることを推奨します。注 : Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

RHEL 7のRed Hat JBoss Enterprise Application Platform 6.4で更新プログラムが利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重要度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat JBoss Enterprise Application Platform 6は、JBoss Application Server 7をベースにしたJavaアプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 6.4.14のリリースは、Red Hat JBoss Enterprise Application Platform 6.4.13に置き換わるものとして機能し、「参照」でリンクされているリリースノートに記載されているバグ修正と拡張機能が含まれています。セキュリティ修正プログラム：* Red Hat Enterprise Linuxの特定のバージョンのEAPパッケージで、/etc/sysconfig/jbossas設定ファイルに対して不適切なアクセス許可が使用されていることがわかりました。ファイルはjbossグループに書き込み可能です（root:jboss、664）。従来の/etc/init.dの初期化スクリプト（Red Hat Enterprise Linux 6以前などの）を使用しているシステムでは、jbossサービスが起動、停止、または再起動されたときに、ファイルがjboss 初期化スクリプトにより供給され、root権限でそのコンテンツが実行されます。（CVE-2016-8657）* Apache TomcatサーブレットとJSPエンジンでのHTTPSリクエスト処理のプログラミングエラーにより、無限ループによるサービス拒否状態が発生する可能性があることがわかりました。（CVE-2017-6056）* RESTEasyで必ずしも必要ではないときに、GZIPInterceptorが有効になっていることがわかりました。攻撃者がこの欠陥を悪用して、DoS攻撃（サービス拒否攻撃）を引き起こす可能性があります。（CVE-2016-6346）Red Hatは、CVE-2016-6346の問題を報告してくれたMikhail Egorov氏（Odin）に感謝の意を表します。

リモート Redhat Enterprise Linux 5 ホストに、RHSA-2017:0826 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 6 は、JBoss Application Server 7 をベースにした Java アプリケーション用のプラットフォームです。

    Red Hat JBoss Enterprise Application Platform 6.4.14のこのリリースは、Red Hat JBoss Enterprise Application Platform 6.4.13に置き換わるものとして機能し、「参照」でリンクされているリリースノートに記載されているバグ修正プログラムと拡張機能が含まれています。

    セキュリティ修正プログラム:

    * Red Hat Enterprise Linux の特定のバージョンの EAP パッケージで、/etc/sysconfig/jbossas 設定ファイルに対して不適切なアクセス許可が使用されていることがわかりました。ファイルはjbossグループに書き込み可能です（root:jboss、664）。従来の /etc/init.d の初期化スクリプト (Red Hat Enterprise Linux 6 以前などの) を使用しているシステムでは、jboss サービスが起動、停止、または再起動されたときに、ファイルが jboss 初期化スクリプトにより供給され、root 権限でそのコンテンツが実行されます。(CVE-2016-8657)

    * Apache Tomcat サーブレットと JSP エンジンでの HTTPS リクエスト処理のプログラミングエラーにより、無限ループによるサービス拒否状態が発生する可能性があることがわかりました。(CVE-2017-6056)

    * RESTEasyで必ずしも必要ではないときに、GZIPInterceptorが有効になっていることがわかりました。攻撃者がこの欠陥を悪用して、DoS 攻撃 (サービス拒否攻撃) を引き起こす可能性があります。(CVE-2016-6346)

    Red Hat は、CVE-2016-6346の問題を報告してくれたMikhail Egorov氏（Odin）に感謝の意を表します。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

更新プログラムが、RHEL 6のRed Hat JBoss Enterprise Application Platform 6.4で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高として評価しています。詳細な重要度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat JBoss Enterprise Application Platform 6は、JBoss Application Server 7をベースにしたJavaアプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 6.4.14のリリースは、Red Hat JBoss Enterprise Application Platform 6.4.13に置き換わるものとして機能し、「参照」でリンクされているリリースノートに記載されているバグ修正と拡張機能が含まれています。セキュリティ修正プログラム：* Red Hat Enterprise Linuxの特定のバージョンのEAPパッケージで、/etc/sysconfig/jbossas設定ファイルに対して不適切なアクセス許可が使用されていることがわかりました。ファイルはjbossグループに書き込み可能です（root:jboss、664）。従来の/etc/init.dの初期化スクリプト（Red Hat Enterprise Linux 6以前などの）を使用しているシステムでは、jbossサービスが起動、停止、または再起動されたときに、ファイルがjboss 初期化スクリプトにより供給され、root権限でそのコンテンツが実行されます。（CVE-2016-8657）* Apache TomcatサーブレットとJSPエンジンでのHTTPSリクエスト処理のプログラミングエラーにより、無限ループによるサービス拒否状態が発生する可能性があることがわかりました。（CVE-2017-6056）* RESTEasyで必ずしも必要ではないときに、GZIPInterceptorが有効になっていることがわかりました。攻撃者がこの欠陥を悪用して、DoS攻撃（サービス拒否攻撃）を引き起こす可能性があります。（CVE-2016-6346）Red Hatは、CVE-2016-6346の問題を報告してくれたMikhail Egorov氏（Odin）に感謝の意を表します。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Apache Tomcat サーブレットと JSP エンジンでの HTTPS リクエスト処理のプログラミングエラーにより、無限ループによるサービス拒否状態が発生する可能性があることがわかりました。 CVE-2016-6816 修正をバックポートしても、Tomcat バグ 57544 の修正をバックポートしないために、サービス拒否を簡単に達成できます。このバックポート問題の影響を受けるディストリビューションには、Debian (jessie の 7.0.56-3+deb8u8 および 8.0.14-1+deb8u7 より前) および Ubuntu が含まれます。CVE-2017-6056

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
97304	Ubuntu 14.04 LTS : Tomcatの脆弱性 (USN-3204-1)	Nessus	Ubuntu Local Security Checks	2017/2/21	2024/8/27	high
97909	RHEL 6：jboss-ec2-eap（RHSA-2017:0829）	Nessus	Red Hat Local Security Checks	2017/3/23	2019/10/24	high
97136	Debian DSA-3787-1 : tomcat7 - セキュリティ更新	Nessus	Debian Local Security Checks	2017/2/14	2021/1/11	high
97137	Debian DSA-3788-1 : tomcat8 - セキュリティ更新	Nessus	Debian Local Security Checks	2017/2/14	2021/1/11	high
97150	Debian DLA-823-2 : tomcat7 回帰の更新	Nessus	Debian Local Security Checks	2017/2/15	2021/1/11	high
112253	RHEL 7：JBoss EAP（RHSA-2017:0828）	Nessus	Red Hat Local Security Checks	2018/9/4	2024/8/12	high
97932	RHEL 5 : RHEL 5 における Red Hat JBoss Enterprise Application Platform 6.4.14 の更新プログラム (重要度高) (RHSA-2017:0826)	Nessus	Red Hat Local Security Checks	2017/3/24	2025/3/20	high
97933	RHEL 6：JBoss EAP（RHSA-2017:0827）	Nessus	Red Hat Local Security Checks	2017/3/24	2024/11/4	high
260688	Linux Distros のパッチ未適用の脆弱性: CVE-2017-6056	Nessus	Misc.	2025/9/2	2025/9/2	high

検出

プラグインの検索

high

high

high

high

high

high

high

high

high