遠端 Redhat Enterprise Linux 6 主機上安裝的套件受到 RHSA-2017:1410 公告中提及的多個弱點影響。

    Red Hat JBoss Enterprise Application Platform 是一個以 JBoss Application Server 為基礎，並提供給 Java 應用程式使用的平台。

    此 Red Hat JBoss Enterprise Application Platform 7.0.6 版本是 Red Hat JBoss Enterprise Application Platform 7.0.5 的替代版本，其中包含數個錯誤修正和增強功能，詳情請參閱〈參照〉中的「版本資訊」連結。

    安全性修正：

    * 據發現，在某些情況下，RESTEasy 可能會被迫以 YamlProvider 剖析要求，進而導致可能不受信任的資料遭到解除封送。遠端攻擊者可利用此缺陷，透過使用 RESTEasy 程式庫的應用程式權限執行任意程式碼。(CVE-2016-9606)

    * 據發現Red Hat JBoss Enterprise Application 6 和 7 中的記錄檔檢視器允許經驗證的使用者透過路徑遊走讀取任意檔案。 (CVE-2017-2595)

    * 據發現，剖析 HTTP 要求行的程式碼允許無效的字元。可利用此缺陷搭配也允許無效字元但解譯不同的 proxy，將資料插入 HTTP 回應。攻擊者可藉由操控 HTTP 回應來破壞網路快取、執行 XSS 攻擊或從非自發要求取得敏感資訊。 (CVE-2017-2666)

    * 據發現不干淨的 TCP 關閉、Websocket 伺服器在每個 IO 執行緒發生無限迴圈皆能有效造成 DoS。 (CVE-2017-2670)

    Red Hat 感謝 Moritz Bechler (AgNO3 GmbH & Co. KG) 報告 CVE-2016-9606 以及 Gregory Ramsperger 和 Ryan Moak 報告 CVE-2017-2670。CVE-2017-2666 問題是由 Radim Hatlapatka (Red Hat) 所發現。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

RHEL 6 Red Hat Enterprise Linux 6 上的 JBoss Enterprise Application Platform 7.0.6 (中等) (RHSA-2017:1410)

high Nessus Plugin ID 112258

版本 1.7