現已提供適用於 Red Hat Enterprise Linux 7 的更新版套件，內含 Red Hat JBoss Enterprise Application Platform 7.0.2、修正數個錯誤，並新增數項增強功能。Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。Red Hat JBoss Enterprise Application Platform 7 是一個應用程式伺服器，可作為中介軟體平台，其建置方式採用開放式標準並符合 Java EE 7 規格。此版本作為 Red Hat JBoss Enterprise Application Platform 7.0.1 的取代版本。其中包含錯誤修正和增強功能。如需此本版本中包含的最重要錯誤修正和增強功能的詳細資訊，請參閱〈參照〉一節連結的 JBoss Enterprise Application Platform 7.0.2 版本資訊。安全性修正：* 據發現，Java Standard Tag Library (JSTL) 允許處理未受信任的 XML 文件利用外部實體參照，導致可以存取主機系統上的資源，且可能進而允許任意程式碼執行。(CVE-2015-0254) * 據報，EAP 7 Application Server/Undertow Web 伺服器易受任意 HTTP 標頭插入的影響，並且因為在 HTTP 標頭值中使用使用者輸入前，使用者輸入的清理和驗證不足，也會導致回應分割。(CVE-2016-4993) * 網域控制站將不會將其系統管理 RBAC 組態散佈至某些從屬。攻擊者可利用此弱點提升其權限。(CVE-2016-5406) Red Hat 感謝 Calum Hutton (NCC Group) 和 Mikhail Egorov (Odin) 報告 CVE-2016-4993。CVE-2016-5406 問題是由 Tomaz Cerar (Red Hat) 所發現。

現已提供適用於 Red Hat Enterprise Linux 5 的更新版套件，內含 Red Hat JBoss Enterprise Application Platform 6.4.6，可修正數個錯誤、新增多種增強功能，並解決一個安全性問題。

Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Red Hat JBoss Enterprise Application Platform 6 是一個以 JBoss Application Server 7 為基礎，並提供給 Java 應用程式使用的平台。

此版本也已解決以下安全性問題：

據發現，Java Standard Tag Library (JSTL) 允許處理未受信任的 XML 文件利用外部實體參照，導致可以存取主機系統上的資源，且可能進而允許任意程式碼執行。(CVE-2015-0254)

注意：Tag Library 使用者套用此更新後可能需要採取其他步驟。其他步驟的詳細指示可至以下網址取得：https://access.redhat.com/solutions/1584363

Red Hat 要感謝 IIX 的 David Jorm 和 Apache Software Foundation 報告 CVE-2015-0254 瑕疵。

此版本將做為 Red Hat JBoss Enterprise Application Platform 6.4.5 的取代套件，其中含有錯誤修正和增強項目。
這些變更的相關文件近期將可從〈參照〉一節中的 Red Hat JBoss Enterprise Application Platform 6.4.6 版本資訊連結中取得。

建議所有在 Red Hat Enterprise Linux 5 中使用 Red Hat JBoss Enterprise Application Platform 6.4 的使用者皆升級至這些更新版套件。必須重新啟動 JBoss 伺服器處理程序，此更新才會生效。

現已提供適用於 Red Hat Enterprise Linux 6 的更新版套件，內含 Red Hat JBoss Enterprise Application Platform 7.0.2、修正數個錯誤，並新增數項增強功能。Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。Red Hat JBoss Enterprise Application Platform 7 是一個應用程式伺服器，可作為中介軟體平台，其建置方式採用開放式標準並符合 Java EE 7 規格。此版本作為 Red Hat JBoss Enterprise Application Platform 7.0.1 的取代版本。其中包含錯誤修正和增強功能。如需此本版本中包含的最重要錯誤修正和增強功能的詳細資訊，請參閱〈參照〉一節連結的 JBoss Enterprise Application Platform 7.0.2 版本資訊。安全性修正：* 據發現，Java Standard Tag Library (JSTL) 允許處理未受信任的 XML 文件利用外部實體參照，導致可以存取主機系統上的資源，且可能進而允許任意程式碼執行。(CVE-2015-0254) * 據報，EAP 7 Application Server/Undertow Web 伺服器易受任意 HTTP 標頭插入的影響，並且因為在 HTTP 標頭值中使用使用者輸入前，使用者輸入的清理和驗證不足，也會導致回應分割。(CVE-2016-4993) * 網域控制站將不會將其系統管理 RBAC 組態散佈至某些從屬。攻擊者可利用此弱點提升其權限。(CVE-2016-5406) Red Hat 感謝 Calum Hutton (NCC Group) 和 Mikhail Egorov (Odin) 報告 CVE-2016-4993。CVE-2016-5406 問題是由 Tomaz Cerar (Red Hat) 所發現。

現已提供適用於 Red Hat Enterprise Linux 6 和 7 的更新版 jakarta-taglibs-standard 套件，可修正一個安全性問題。

Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Jakarta-taglibs-standard 為 Java Standard Tag Library (JSTL)。此程式庫需搭配 Tomcat 和 Java Server Pages (JSP) 使用。

據發現，Java Standard Tag Library (JSTL) 允許處理未受信任的 XML 文件利用外部實體參照，導致可以存取主機系統上的資源，且可能進而允許任意程式碼執行。(CVE-2015-0254)

注意：jakarta-taglibs-standard 使用者套用此更新後可能需要採取其他步驟。其他步驟的詳細指示可至以下網址取得：

https://access.redhat.com/solutions/1584363

建議所有 jakarta-taglibs-standard 使用者皆升級至這些更新版套件，其中包含可更正此問題的反向移植修補程式。

根據其自我報告版本號碼，遠端網頁伺服器上執行的 Oracle Primavera 閘道是比 14.2.3 舊的版本、比 15.2.12 舊的 15.x 版，或比 16.2.4 舊的 16.x 版。因此，會受到以下弱點影響：- Primavera Integration (標準) 元件中存在一個遠端程式碼執行弱點，這是因為錯誤設定 XML 剖析器接受來自未受信任來源之 XML 外部實體，造成剖析 XML 資料時出現 XML 外部實體 (XXE) 插入缺陷所致。未經驗證的遠端攻擊者可惡意利用此缺陷，透過特製 XML 資料洩漏目標系統上的資源，或是利用 XSLT 延伸執行任意程式碼。(CVE-2015-0254) - Primavera Integration (Groovy) 元件中有一個遠端程式碼執行弱點存在，這是因為未經驗證的 Java 物件對 Apache Commons Collections (ACC) 程式庫進行不安全的還原序列化呼叫所致。未驗證的遠端攻擊者可惡意利用此弱點，在目標主機上執行任意程式碼。(CVE-2016-6814) 請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

現已提供適用於 Red Hat Enterprise Linux 7 的更新版套件，內含 Red Hat JBoss Enterprise Application Platform 6.4.6、修正數個錯誤、新增數項增強功能並解決一個安全性問題。Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。Red Hat JBoss Enterprise Application Platform 6 是一個以 JBoss Application Server 7 為基礎，並提供給 Java 應用程式使用的平台。此版本已解決以下安全性問題：據發現，Java Standard Tag Library (JSTL) 允許處理不受信任的 XML 文件以利用外部實體參照，導致可存取主機系統上的資源，並可能導致任意程式碼執行。(CVE-2015-0254) 注意：Tag Library 使用者在套用此更新後，必須採取額外步驟。可在以下網址找到額外步驟的詳細指示：https://access.redhat.com/solutions/1584363 Red Hat 感謝 IIX 的 David Jorm 和 Apache Software Foundation 報告 CVE-2015-0254 缺陷。此版本將作為 Red Hat JBoss Enterprise Application Platform 6.4.5 的取代套件，其中包含錯誤修正和增強功能。這些變更的相關文件近期將可從〈參照〉一節中的 Red Hat JBoss Enterprise Application Platform 6.4.6 版本資訊連結中取得。建議所有在 Red Hat Enterprise Linux 7 中使用 Red Hat JBoss Enterprise Application Platform 6.4 的使用者皆升級至這些更新版套件。必須重新啟動 JBoss 伺服器處理程序，此更新才會生效。

據發現，Java Standard Tag Library (JSTL) 允許處理未受信任的 XML 文件利用外部實體參照，導致可以存取主機系統上的資源，且可能進而允許任意程式碼執行。

來自 Red Hat 安全性公告 2015:1695：

現已提供適用於 Red Hat Enterprise Linux 6 和 7 的更新版 jakarta-taglibs-standard 套件，可修正一個安全性問題。

Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Jakarta-taglibs-standard 為 Java Standard Tag Library (JSTL)。此程式庫需搭配 Tomcat 和 Java Server Pages (JSP) 使用。

據發現，Java Standard Tag Library (JSTL) 允許處理未受信任的 XML 文件利用外部實體參照，導致可以存取主機系統上的資源，且可能進而允許任意程式碼執行。(CVE-2015-0254)

注意：jakarta-taglibs-standard 使用者套用此更新後可能需要採取其他步驟。其他步驟的詳細指示可至以下網址取得：

https://access.redhat.com/solutions/1584363

建議所有 jakarta-taglibs-standard 使用者皆升級至這些更新版套件，其中包含可更正此問題的反向移植修補程式。

現已提供適用於 Red Hat Enterprise Linux 6 的更新版套件，內含 Red Hat JBoss Enterprise Application Platform 6.4.6，可修正數個錯誤、新增多種增強功能，並解決一個安全性問題。

Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Red Hat JBoss Enterprise Application Platform 6 是一個以 JBoss Application Server 7 為基礎，並提供給 Java 應用程式使用的平台。

此版本也已解決以下安全性問題：

據發現，Java Standard Tag Library (JSTL) 允許處理未受信任的 XML 文件利用外部實體參照，導致可以存取主機系統上的資源，且可能進而允許任意程式碼執行。(CVE-2015-0254)

注意：Tag Library 使用者套用此更新後可能需要採取其他步驟。其他步驟的詳細指示可至以下網址取得：https://access.redhat.com/solutions/1584363

Red Hat 要感謝 IIX 的 David Jorm 和 Apache Software Foundation 報告 CVE-2015-0254 瑕疵。

此版本將做為 Red Hat JBoss Enterprise Application Platform 6.4.5 的取代套件，其中含有錯誤修正和增強項目。
這些變更的相關文件近期將可從〈參照〉一節中的 Red Hat JBoss Enterprise Application Platform 6.4.6 版本資訊連結中取得。

建議所有在 Red Hat Enterprise Linux 6 中使用 Red Hat JBoss Enterprise Application Platform 6.4 的使用者皆升級至這些更新版套件。必須重新啟動 JBoss 伺服器處理程序，此更新才會生效。

現已提供適用於 RHEL 6 之 Red Hat Jboss Enterprise Application Platform 7.0 和 RHEL 7 之 Red Hat JBoss Enterprise Application Platform 7.0 的 eap7-jboss-ec2-eap 更新。Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。* eap7-jboss-ec2-eap 套件提供適用於 Amazon Web Services (AWS) Elastic Compute Cloud (EC2) 上執行之 Red Hat JBoss Enterprise Application Platform 的指令碼。此更新已更新 eap7-jboss-ec2-eap 套件，確保與 Red Hat JBoss Enterprise Application Platform 7.0.2 的相容性。如需此本版本中包含的最重要錯誤修正和增強功能的詳細資訊，請參閱〈參照〉一節連結的 JBoss Enterprise Application Platform 7.0.2 版本資訊。安全性修正：* 據發現，Java Standard Tag Library (JSTL) 允許處理未受信任的 XML 文件利用外部實體參照，導致可以存取主機系統上的資源，且可能進而允許任意程式碼執行。(CVE-2015-0254) * 據報，EAP 7 Application Server/Undertow Web 伺服器易受任意 HTTP 標頭插入的影響，並且因為在 HTTP 標頭值中使用使用者輸入前，使用者輸入的清理和驗證不足，也會導致回應分割。(CVE-2016-4993) * 網域控制站將不會將其系統管理 RBAC 組態散佈至某些從屬。攻擊者可利用此弱點提升其權限。(CVE-2016-5406) Red Hat 感謝 Calum Hutton (NCC Group) 和 Mikhail Egorov (Odin) 報告 CVE-2016-4993。CVE-2016-5406 問題是由 Tomaz Cerar (Red Hat) 所發現。

David Jorm 發現，Apache Standard Taglibs 未正確處理外部 XML 實體。遠端攻擊者可能利用此問題來執行任意程式碼或執行其他外部 XML 實體攻擊。

請注意，Tenable Network Security 已直接從 Ubuntu 安全性公告擷取前述描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

jakarta-taglibs-standard 已更新，可修正一個安全性問題。

已修正此安全性問題：

- CVE-2015-0254：Apache Standard Taglibs 1.2.3 之前版本允許遠端攻擊者透過特製的 XSLT 延伸模組，執行任意程式碼或發動外部 XML 實體 (XXE) 攻擊 (bsc#920813)。

現已提供適用於 Red Hat Enterprise Linux 6 上的 Red Hat JBoss Enterprise Application Platform 6.4.6 之更新版 jboss-ec2-eap 套件，其新增了一個增強功能且可解決一個安全性問題。

Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Red Hat JBoss Enterprise Application Platform 6 是一款供 Java EE 應用程式使用的平台。其以 JBoss Application Server 7 為基礎，並納入多個開放原始碼專案，可提供完整的 Java EE 平台解決方案。

據發現，Java Standard Tag Library (JSTL) 允許處理未受信任的 XML 文件利用外部實體參照，導致可以存取主機系統上的資源，且可能進而允許任意程式碼執行。(CVE-2015-0254)

注意：Tag Library 使用者套用此更新後可能需要採取其他步驟。其他步驟的詳細指示可至以下網址取得：https://access.redhat.com/solutions/1584363

Red Hat 要感謝 IIX 的 David Jorm 和 Apache Software Foundation 報告 CVE-2015-0254 瑕疵。

* jboss-ec2-eap 套件提供適用於 Amazon Web Services (AWS) Elastic Compute Cloud (EC2) 上執行之 Red Hat JBoss Enterprise Application Platform 的指令碼。執行此更新版套件後，可確保與 Red Hat JBoss Enterprise Application Platform 6.4.6 相容。

所有 EAP 6.4.5 jboss-ec2-eap 使用者皆應升級至這些更新版套件。

遠端主機上執行的 IBM WebSphere Application Server 為 6.1.x 到 6.1.0.47 版、7.0.0.43 之前的 7.0.0.x 版、8.0.0.13 之前的 8.0.0.x 版或 8.5.5.10 之前的 8.5.0.x 版。因此，會受到 Apache Standard Taglibs 子元件中一個 XML 外部實體插入弱點影響，這是因為不正確地設定接受來自未受信任來源之 XML 外部實體的 XML 剖析器所導致。未經過驗證的遠端攻擊者可惡意利用此弱點，透過特製的 XML 資料在系統上執行任意程式碼。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 WebLogic Server 版本10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0 受到 2021 年 7 月 CPU 公告中提及的多個弱點影響。

  - Oracle Fusion Middleware 的 Oracle WebLogic Server 產品中存在弱點 (元件：Core)。
    受影響的支援版本是 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0。
    攻擊此弱點的難度較小，經由 T3、IIOP 存取網路的未經驗證攻擊者可以藉此入侵 Oracle WebLogic Server。若成功攻擊此弱點，則可能導致接管 Oracle WebLogic Server。(CVE-2021-2394、CVE-2021-2397)

  - Oracle Fusion Middleware 的 Oracle WebLogic Server 產品中存在弱點 (元件：Security)。
    受影響的支援版本是 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0。
    攻擊此弱點的難度較小，經由 T3、IIOP 存取網路的未經驗證攻擊者可以藉此入侵 Oracle WebLogic Server。若成功攻擊此弱點，則可能導致接管 Oracle WebLogic Server。(CVE-2021-2382)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

ID	名稱	產品	系列	已發布	已更新	嚴重性
112246	RHEL 7：JBoss EAP (RHSA-2016:1839)	Nessus	Red Hat Local Security Checks	2018/9/4	2019/10/24	high
88617	RHEL 5：JBoss EAP (RHSA-2016:0121)	Nessus	Red Hat Local Security Checks	2016/2/8	2019/10/24	high
112245	RHEL 6：JBoss EAP (RHSA-2016:1838)	Nessus	Red Hat Local Security Checks	2018/9/4	2019/10/24	high
86500	CentOS 6 / 7：jakarta-taglibs-standard (CESA-2015:1695)	Nessus	CentOS Local Security Checks	2015/10/22	2021/6/3	high
101899	Oracle Primavera Gateway 多個弱點 (2017 年 7 月 CPU)	Nessus	CGI abuses	2017/7/21	2021/1/29	critical
112242	RHEL 7：JBoss EAP (RHSA-2016:0123)	Nessus	Red Hat Local Security Checks	2018/9/4	2019/10/24	high
86073	Amazon Linux AMI : jakarta-taglibs-standard (ALAS-2015-595)	Nessus	Amazon Linux Local Security Checks	2015/9/23	2018/5/16	high
85711	Oracle Linux 6 / 7：jakarta-taglibs-standard (ELSA-2015-1695)	Nessus	Oracle Linux Local Security Checks	2015/9/1	2021/6/3	high
85718	RHEL 6 / 7 : jakarta-taglibs-standard (RHSA-2015:1695)	Nessus	Red Hat Local Security Checks	2015/9/1	2021/6/3	high
88618	RHEL 6：JBoss EAP (RHSA-2016:0122)	Nessus	Red Hat Local Security Checks	2016/2/8	2021/6/3	high
112172	RHEL 6 / 7：eap7-jboss-ec2-eap (RHSA-2016:1840)	Nessus	Red Hat Local Security Checks	2018/8/29	2019/10/24	high
82471	Ubuntu 14.04 LTS：Apache Standard Taglibs 弱點 (USN-2551-1)	Nessus	Ubuntu Local Security Checks	2015/3/31	2023/10/23	high
86393	openSUSE 安全性更新：jakarta-taglibs-standard (openSUSE-2015-658)	Nessus	SuSE Local Security Checks	2015/10/15	2021/1/19	high
88588	RHEL 6 : jboss-ec2-eap (RHSA-2016:0124)	Nessus	Red Hat Local Security Checks	2016/2/5	2021/6/3	high
142141	IBM WebSphere Application Server 6.1.0.x <= 6.1.0.47 / 7.0.0.x < 7.0.0.43 / 8.0.0.x < 8.0.0.13 / 8.5.x < 8.5.5.10 XXE (CVE-2015-0254)	Nessus	Web Servers	2020/10/30	2020/11/30	critical
152035	Oracle WebLogic Server 多個弱點 (2021 年 7 月 CPU)	Nessus	Misc.	2021/7/23	2023/12/12	critical

偵測

搜尋 Plugin

high

high

high

high

critical

high

high

high

high

high

high

high

high

high

critical

critical