RHEL 6 / 7 : JBoss EAP (RHSA-2017:1658)

critical Nessus 插件 ID 101141

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新现在可用于 Red Hat Enterprise Linux 6 的 Red Hat JBoss Enterprise Application Platform 6.4 和可用于 Red Hat Enterprise Linux 7 的 Red Hat JBoss Enterprise Application Platform 6.4。Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其针对每个漏洞给出了详细的严重性等级。Red Hat JBoss Enterprise Application Platform 是适用于基于 JBoss Application Server 的 Java 应用程序的平台。此版本包括缺陷补丁,以及新的 OpenSSL 版本。有关更多信息,请参阅“参考”部分中链接的知识库文章。建议 Red Hat Enterprise Linux 7 上的所有 Red Hat JBoss Enterprise Application Platform 6.4 用户都升级到这些更新后的程序包。必须重新启动 JBoss 服务器进程才能使更新生效。安全修复:* 在会话重新协商期间,OpenSSL 处理 TLS 状态请求扩展数据的方式中发现内存泄露缺陷。远程攻击者可能会导致使用 OpenSSL 的 TLS 服务器消耗过量的内存,并且如果启用 OCSP 装订支持,则可能在耗尽全部可用内存后意外退出。(CVE-2016-6304) * 据发现,OpenSSL 在计算数字签名算法 (DSA) 签名时,未一律使用常数时间操作。本地攻击者可利用此缺陷取得属于相同系统上运行之另一用户或服务的私人 DSA 密钥。(CVE-2016-2178) * 在连接握手期间,TLS/SSL 协议定义 ALERT 数据包的处理方式中发现拒绝服务缺陷。远程攻击者可利用此缺陷,造成 TLS/SSL 服务器消耗过量 CPU,并无法接受其他客户端的连接。(CVE-2016-8610) * 在 OpenSSL 执行指针算法的方式中,发现多个整数溢出缺陷。远程攻击者可能会利用此缺陷导致使用 OpenSSL 的 TLS/SSL 服务器或客户端崩溃。(CVE-2016-2177) Red Hat 在此感谢 OpenSSL 项目报告 CVE-2016-6304 以及 Shi Lei (Gear Team of Qihoo 360 Inc.) 报告 CVE-2016-8610。上游感谢原始报告者 Shi Lei (Gear Team of Qihoo 360 Inc.) 报告 CVE-2016-6304。

解决方案

更新受影响的程序包。

另见

https://access.redhat.com/articles/2688611

https://access.redhat.com/solutions/222023

https://access.redhat.com/documentation/en-us/

http://www.nessus.org/u?651b7563

https://access.redhat.com/errata/RHSA-2017:1658

https://access.redhat.com/security/cve/cve-2016-2177

https://access.redhat.com/security/cve/cve-2016-2178

https://access.redhat.com/security/cve/cve-2016-6304

https://access.redhat.com/security/cve/cve-2016-8610

插件详情

严重性: Critical

ID: 101141

文件名: redhat-RHSA-2017-1658.nasl

版本: 3.9

类型: local

代理: unix

发布时间: 2017/6/30

最近更新时间: 2019/10/24

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 7.8

时间分数: 5.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-debuginfo, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-devel, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-libs, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-perl, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-static, cpe:/o:redhat:enterprise_linux:6, cpe:/o:redhat:enterprise_linux:7

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2017/6/28

漏洞发布日期: 2016/6/20

参考资料信息

CVE: CVE-2016-2177, CVE-2016-2178, CVE-2016-6304, CVE-2016-8610

RHSA: 2017:1658