RHEL 6 : jboss-ec2-eap (RHSA-2012:1376)

medium Nessus Plugin ID 64058

語系：

概要

遠端 Red Hat 主機缺少安全性更新。

說明

現已提供適用於 Amazon Web Services (AWS) Elastic Compute Cloud (EC2) 上執行的 Red Hat Enterprise Linux 6 之 JBoss Enterprise Application Platform 5.1.2 的更新版 jboss-ec2-eap 套件，可修正一個安全性問題。

Red Hat 安全性回應團隊已將此更新評等為具有低安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

jboss-ec2-eap 提供適用於 Amazon Web Services (AWS) Elastic Compute Cloud (EC2) 上執行之 JBoss Enterprise Application Platform 的 JBoss Operations Network (JBoss ON) 指令碼。

據發現，針對 Red Hat Enterprise Linux 6 上的 JBoss Enterprise Application Platform 5.1.2 使用 EC2 AMI (Amazon Machine Image) 時，「/var/cache/jboss-ec2-eap/」目錄設定了任何人皆可讀取的權限。本機攻擊者可利用此瑕疵，從該目錄讀取潛在敏感資訊，例如：Amazon Web Services (AWS) 認證。(CVE-2012-3427)

注意：此瑕疵只影響適用於 JBoss Enterprise Application Platform 5.1.2 的 EC2 AMI。

此問題是由 Red Hat QE 團隊的 Aleksandar Kostadinov 所發現。

警告：套用此更新之前，請先備份 JBoss Enterprise Application Platform 的「server/[PROFILE]/deploy/」目錄，以及所有其他自訂的組態檔。

在 EC2 中執行的 Red Hat Enterprise Linux 6 上的 JBoss Enterprise Application Platform 5.1.2 的使用者應升級至此更新版套件，其可更正此問題。必須重新啟動 JBoss 伺服器處理程序，此更新才會生效。