Red Hat JBoss Enterprise Application Platformのセキュリティ更新プログラムが、Customer Portalから利用できるようになりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中と評価しています。詳細な重大度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat JBoss Enterprise Application Platform 7は、WildFlyをベースにしたJavaアプリケーション用のプラットフォームです。この非同期パッチは、Red Hat JBoss Enterprise Application Platform 7.2のwildfly-coreパッケージのセキュリティ更新プログラムです。セキュリティ修正プログラム：* wildfly-core：デフォルトで「監視者」、「監査者」、「実装者」ユーザーの不適切な権限（CVE-2019-14838）影響、CVSSスコア、その他の関連情報を含むセキュリティの問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。

Red Hat Enterprise Linux 7用のRed Hat JBoss Enterprise Application Platform 7.2の更新プログラムが利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重大度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat JBoss Enterprise Application Platform 7は、WildFlyアプリケーションランタイムをベースにしたJavaアプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 7.2.5のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.2.4に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 7.2.5リリースノート』を参照してください。セキュリティ修正プログラム：* undertow：HTTP/2：大量のデータリクエストにより、サービス拒否が引き起こされる（CVE-2019-9511）* undertow：HTTP/2：PINGフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9512）* undertow：HTTP/2：HEADERSフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9514）* undertow：HTTP/2：SETTINGSフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9515）* wildfly-core: デフォルトで「監視者」、「監査者」、「実装者」ユーザーの不適切な権限（CVE-2019-14838）* wildfly：wildfly-security-manager：セキュリティマネージャの認証バイパス（CVE-2019-14843）影響、CVSSスコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。

新しいRed Hat Single Sign-On 7.3.5パッケージがRed Hat Enterprise Linux 7で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重大度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat Single Sign-On 7.3は、Keycloakプロジェクトに基づいたスタンドアロンのサーバーで、Webアプリケーションとモバイルアプリケーションに認証と標準ベースのシングルサインオン機能を提供します。RHEL 7用Red Hat Single Sign-On 7.3.5のこのリリースはRed Hat Single Sign-On 7.3.4を置き換え、バグ修正と強化を含んでいます。バグ修正や強化の内容は、「参照」でリンクされているリリースノートにドキュメント化されています。セキュリティ修正プログラム：*keycloak：サービスアカウントのパスワードのリセットフローでplaceholder.orgドメインが使われなくなる（CVE-2019-14837）* undertow：HTTP/2：PINGフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9512）* undertow：HTTP/2：HEADERSフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9514）* undertow：HTTP/2：SETTINGSフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9515）* wildfly-core: デフォルトで「監視者」、「監査者」、「実装者」ユーザーの不適切な権限（CVE-2019-14838）* wildfly：wildfly-security-manager：セキュリティマネージャの認証バイパス（CVE-2019-14843）影響、CVSSスコア、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。

新しいRed Hat Single Sign-On 7.3.5パッケージがRed Hat Enterprise Linux 8で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重大度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat Single Sign-On 7.3は、Keycloakプロジェクトに基づいたスタンドアロンのサーバーで、Webアプリケーションとモバイルアプリケーションに認証と標準ベースのシングルサインオン機能を提供します。RHEL 8用Red Hat Single Sign-On 7.3.5のこのリリースはRed Hat Single Sign-On 7.3.4を置き換え、バグ修正と強化を含んでいます。バグ修正や強化の内容は、「参照」でリンクされているリリースノートにドキュメント化されています。セキュリティ修正プログラム：*keycloak：サービスアカウントのパスワードのリセットフローでplaceholder.orgドメインが使われなくなる（CVE-2019-14837）* undertow：HTTP/2：PINGフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9512）* undertow：HTTP/2：HEADERSフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9514）* undertow：HTTP/2：SETTINGSフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9515）* wildfly-core: デフォルトで「監視者」、「監査者」、「実装者」ユーザーの不適切な権限（CVE-2019-14838）* wildfly：wildfly-security-manager：セキュリティマネージャの認証バイパス（CVE-2019-14843）影響、CVSSスコア、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。

リモートホストにインストールされているRed Hat JBoss Enterprise Application Platform（EAP）のバージョンは7.2.5より前の7.xです。したがって、RHSA-2019:4021 アドバイザリに記載されている複数の脆弱性の影響を受けます：- undertow： HTTP/2：大量のデータリクエストにより、サービス拒否が引き起こされます（CVE-2019-9511）- undertow：HTTP/2：PINGフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9512）- undertow：HTTP/2：HEADERSフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9514）- undertow：HTTP/2：SETTINGSフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9515）- wildfly-core: 「監視者」、「監査者」、「実装者」ユーザーの不適切なデフォルト権限（CVE-2019-14838）- wildfly：wildfly-security-manager：セキュリティマネージャーの認証バイパス（CVE-2019-14843）Nessusはこれらの問題をテストしていませんが、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

Red Hat Enterprise Linux 6用のRed Hat JBoss Enterprise Application Platform 7.2の更新プログラムが利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重大度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat JBoss Enterprise Application Platform 7は、WildFlyアプリケーションランタイムをベースにしたJavaアプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 7.2.5のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.2.4に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 7.2.5リリースノート』を参照してください。セキュリティ修正プログラム：* undertow：HTTP/2：大量のデータリクエストにより、サービス拒否が引き起こされる（CVE-2019-9511）* undertow：HTTP/2：PINGフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9512）* undertow：HTTP/2：HEADERSフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9514）* undertow：HTTP/2：SETTINGSフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9515）* wildfly-core: デフォルトで「監視者」、「監査者」、「実装者」ユーザーの不適切な権限（CVE-2019-14838）* wildfly：wildfly-security-manager：セキュリティマネージャの認証バイパス（CVE-2019-14843）影響、CVSSスコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。

Red Hat Enterprise Linux 8用のRed Hat JBoss Enterprise Application Platform 7.2の更新プログラムが利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重大度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat JBoss Enterprise Application Platform 7は、WildFlyアプリケーションランタイムをベースにしたJavaアプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 7.2.5のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.2.4に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 7.2.5リリースノート』を参照してください。セキュリティ修正プログラム：* undertow：HTTP/2：大量のデータリクエストにより、サービス拒否が引き起こされる（CVE-2019-9511）* undertow：HTTP/2：PINGフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9512）* undertow：HTTP/2：HEADERSフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9514）* undertow：HTTP/2：SETTINGSフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9515）* wildfly-core: デフォルトで「監視者」、「監査者」、「実装者」ユーザーの不適切な権限（CVE-2019-14838）* wildfly：wildfly-security-manager：セキュリティマネージャの認証バイパス（CVE-2019-14843）影響、CVSSスコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。

リモートホストにインストールされているRed Hat JBoss Enterprise Application Platform（EAP）のバージョンは7.2.4より前の7.xです。したがって、RHSA-2019:アドバイザリに記載されているとおり、複数の脆弱性の影響を受けます。: - wildfly-core：「監視者」、「監査者」、「実装者」のユーザーの不適切なデフォルト権限（CVE-2019-14838）Nessusはこれらの問題をテストしていませんが、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

新しいRed Hat Single Sign-On 7.3.5パッケージがRed Hat Enterprise Linux 6で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重大度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat Single Sign-On 7.3は、Keycloakプロジェクトに基づいたスタンドアロンのサーバーで、Webアプリケーションとモバイルアプリケーションに認証と標準ベースのシングルサインオン機能を提供します。RHEL 6用Red Hat Single Sign-On 7.3.5のこのリリースはRed Hat Single Sign-On 7.3.4を置き換え、バグ修正と強化を含んでいます。バグ修正や強化の内容は、「参照」でリンクされているリリースノートにドキュメント化されています。セキュリティ修正プログラム：*keycloak：サービスアカウントのパスワードのリセットフローでplaceholder.orgドメインが使われなくなる（CVE-2019-14837）* undertow：HTTP/2：PINGフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9512）* undertow：HTTP/2：HEADERSフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9514）* undertow：HTTP/2：SETTINGSフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9515）* wildfly-core: デフォルトで「監視者」、「監査者」、「実装者」ユーザーの不適切な権限（CVE-2019-14838）* wildfly：wildfly-security-manager：セキュリティマネージャの認証バイパス（CVE-2019-14843）影響、CVSSスコア、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
129991	RHEL 6/7/8：JBoss EAP（RHSA-2019:3082）	Nessus	Red Hat Local Security Checks	2019/10/17	2024/11/7	medium
131523	RHEL 7：JBoss EAP（RHSA-2019:4019）（Data Dribble）（Ping Flood）（Reset Flood）（Settings Flood）	Nessus	Red Hat Local Security Checks	2019/12/3	2024/11/7	high
131528	RHEL 7：Red Hat Single Sign-On 7.3.5（RHSA-2019:4041）（Ping Flood）（Reset Flood）（Settings Flood）	Nessus	Red Hat Local Security Checks	2019/12/3	2024/11/7	critical
131529	RHEL 8：Red Hat Single Sign-On 7.3.5（RHSA-2019:4042）（Ping Flood）（Reset Flood）（Settings Flood）	Nessus	Red Hat Local Security Checks	2019/12/3	2024/11/7	critical
132314	Red Hat JBoss Enterprise Application Platform 7.x < 7.2.5の複数の脆弱性	Nessus	CGI abuses	2019/12/19	2022/12/5	high
131522	RHEL 6：JBoss EAP（RHSA-2019:4018）（Data Dribble）（Ping Flood）（Reset Flood）（Settings Flood）	Nessus	Red Hat Local Security Checks	2019/12/3	2024/11/7	high
131524	RHEL 8：JBoss EAP（RHSA-2019:4020）（Data Dribble）（Ping Flood）（Reset Flood）（Settings Flood）	Nessus	Red Hat Local Security Checks	2019/12/3	2024/11/6	high
132313	Red Hat JBoss Enterprise Application Platform 7.x < 7.2.4の認証バイパス	Nessus	CGI abuses	2019/12/19	2022/4/11	medium
131527	RHEL 6：Red Hat Single Sign-On 7.3.5（RHSA-2019:4040）（Ping Flood）（Reset Flood）（Settings Flood）	Nessus	Red Hat Local Security Checks	2019/12/3	2024/11/7	critical

検出

プラグインの検索

medium

high

critical

critical

high

high

high

medium

critical