RHEL 6：jboss-ec2-eap (RHSA-2017:0250)

high Nessus 插件 ID 96973

语言：

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

jboss-ec2-eap 的更新现在可用于 RHEL 6 的 Red Hat JBoss Enterprise Application Platform 6.4。Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其针对每个漏洞给出了详细的严重性等级。jboss-ec2-eap 程序包为 Amazon Web Services (AWS) Elastic Compute Cloud (EC2) 上运行的 Red Hat JBoss Enterprise Application Platform 提供脚本。通过此更新，已更新 jboss-ec2-eap 程序包以确保兼容 Red Hat JBoss Enterprise Application Platform 6.4.12。安全修复：* 已发现 jboss init 脚本执行了不安全的文件处理，其可导致本地权限升级。(CVE-2016-8656) * 已发现解析 HTTP 请求行的代码允许无效字符。可利用此缺陷，通过与同样允许无效字符但解释不同的代理结合，将数据注入 HTTP 响应。通过操控 HTTP 响应，攻击者可侵害 Web 缓存、执行 XSS 攻击和/或从非自身请求获得敏感信息。(CVE-2016-6816) * 下载服务器日志文件的 EAP 功能允许通过 GET 请求提供日志，使其容易受到跨域攻击。攻击者会触发用户浏览器，以请求日志文件消耗足够的资源，从而损害正常的服务器功能。(CVE-2016-8627) * 已发现当配置 RBAC 并将信息标记为敏感时，具有 Monitor 角色的用户能够查看敏感信息。(CVE-2016-7061) CVE-2016-8627 问题由 Darran Lofthouse 和 Brian Stansberry (Red Hat) 发现。