RHEL 5：JBoss EAP (RHSA-2013:1784)

medium Nessus Plugin ID 71900

語系：

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Customer Portal 的更新版 Red Hat JBoss Enterprise Application Platform 6.2.0 套件，可修正兩個安全性問題、數個錯誤，並新增多種增強功能。

Red Hat 安全性回應團隊已將此更新評等為具有低安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Red Hat JBoss Enterprise Application Platform 6 是一個以 JBoss Application Server 7 為基礎，並提供給 Java 應用程式使用的平台。

當原生程式庫隨附於 JAR 檔案中，且沒有指定自訂程式庫路徑時，HawtJNI 程式庫類別將原生程式庫寫入 /tmp/ 中可預測的檔案名稱。在 HawtJNI 寫入這些原生程式庫到它們執行前的這段時間內，本機攻擊者可以惡意的版本覆寫這些程式庫。
(CVE-2013-2035)

在 EJB invocation 處置程式實作針對 JAX-WS 服務端點執行方法層級授權的方式中發現一個瑕疵。執行 JAX-WS 處置程式時，EJB 方法宣告的任何限制都會遭到忽略，只會套用跨層級限制。授權存取 EJB 類別的遠端攻擊者，可叫用他們未獲授權叫用的 JAX-WS 處置程式。(CVE-2013-2133)

CVE-2013-2035 問題是由 Red Hat 產品安全性團隊的 Florian Weimer 所發現的； CVE-2013-2133 問題則是由 Red Hat 的 Richard Opalka 和 Arun Neelicattu 所發現的。

此版本是 JBoss Enterprise Application Platform 6.1.1 的替代版本，其中包含錯誤修正和增強功能。這些變更的相關文件近期將可從〈參照〉一節中的 JBoss Enterprise Application Platform 6.2.0 版本資訊連結中取得。

建議使用 Red Hat 客戶入口網站提供的 Red Hat JBoss Enterprise Application Platform 6.2.0 的所有使用者套用此更新。必須重新啟動 JBoss 伺服器處理程序，此更新才會生效。

此外掛程式不會檢查下列遠端檔案系統類型是否已安裝 JBoss：NFS、AFS、SMBFS 和 CIFS。