現已提供適用於 RHEL 7 的 Red Hat JBoss Enterprise Application Platform 6.4 更新。Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。Red Hat JBoss Enterprise Application Platform 6 是一個以 JBoss Application Server 7 為基礎，並提供給 Java 應用程式使用的平台。此 Red Hat JBoss Enterprise Application Platform 6.4.13 版本是 Red Hat JBoss Enterprise Application Platform 6.4.12 的替代版本，其中包含數個錯誤修正和增強功能，詳情請參閱〈參照〉中的「版本資訊」連結。安全性修正：* 據發現，jboss init 指令碼執行了不安全的檔案處理作業，其可導致本機權限提升。(CVE-2016-8656) * 據發現，剖析 HTTP 要求行的程式碼允許無效的字元。可利用此缺陷搭配也允許無效字元但解譯不同的 proxy，將資料插入 HTTP 回應。攻擊者可透過操控 HTTP 回應的方式去破壞網路快取、執行 XSS 攻擊，和/或從非自發要求取得敏感資訊。(CVE-2016-6816) * 可下載伺服器記錄檔的 EAP 功能允許透過 GET 要求提供記錄，使其易於遭受跨來源攻擊。攻擊者可觸發使用者瀏覽器，以要求記錄檔耗用足量的資源，藉此癱瘓正常伺服器運作。(CVE-2016-8627) * 據發現，設定 RBAC 及將資訊設定為敏感資訊時，具有 Monitor 角色的使用者可檢視敏感資訊。(CVE-2016-7061) CVE-2016-8627 問題是由 Darran Lofthouse (Red Hat) 及 Brian Stansberry (Red Hat) 所發現。

偵測

RHEL 7：JBoss EAP (RHSA-2017:0245)

high Nessus Plugin ID 112252

找不到變更記錄