RHEL 6 / 7 : JBoss EAP (RHSA-2017:1658)
critical Nessus 插件 ID 101141
语言:
简介
远程 Red Hat 主机缺少一个或多个安全更新。描述
更新现在可用于 Red Hat Enterprise Linux 6 的 Red Hat JBoss Enterprise Application Platform 6.4 和可用于 Red Hat Enterprise Linux 7 的 Red Hat JBoss Enterprise Application Platform 6.4。Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其针对每个漏洞给出了详细的严重性等级。Red Hat JBoss Enterprise Application Platform 是适用于基于 JBoss Application Server 的 Java 应用程序的平台。此版本包括缺陷补丁,以及新的 OpenSSL 版本。有关更多信息,请参阅“参考”部分中链接的知识库文章。建议 Red Hat Enterprise Linux 7 上的所有 Red Hat JBoss Enterprise Application Platform 6.4 用户都升级到这些更新后的程序包。必须重新启动 JBoss 服务器进程才能使更新生效。安全修复:* 在会话重新协商期间,OpenSSL 处理 TLS 状态请求扩展数据的方式中发现内存泄露缺陷。远程攻击者可能会导致使用 OpenSSL 的 TLS 服务器消耗过量的内存,并且如果启用 OCSP 装订支持,则可能在耗尽全部可用内存后意外退出。(CVE-2016-6304) * 据发现,OpenSSL 在计算数字签名算法 (DSA) 签名时,未一律使用常数时间操作。本地攻击者可利用此缺陷取得属于相同系统上运行之另一用户或服务的私人 DSA 密钥。(CVE-2016-2178) * 在连接握手期间,TLS/SSL 协议定义 ALERT 数据包的处理方式中发现拒绝服务缺陷。远程攻击者可利用此缺陷,造成 TLS/SSL 服务器消耗过量 CPU,并无法接受其他客户端的连接。(CVE-2016-8610) * 在 OpenSSL 执行指针算法的方式中,发现多个整数溢出缺陷。远程攻击者可能会利用此缺陷导致使用 OpenSSL 的 TLS/SSL 服务器或客户端崩溃。(CVE-2016-2177) Red Hat 在此感谢 OpenSSL 项目报告 CVE-2016-6304 以及 Shi Lei (Gear Team of Qihoo 360 Inc.) 报告 CVE-2016-8610。上游感谢原始报告者 Shi Lei (Gear Team of Qihoo 360 Inc.) 报告 CVE-2016-6304。解决方案
更新受影响的程序包。另见
https://access.redhat.com/articles/2688611
https://access.redhat.com/solutions/222023
https://access.redhat.com/documentation/en-us/
http://www.nessus.org/u?651b7563
https://access.redhat.com/errata/RHSA-2017:1658
https://access.redhat.com/security/cve/cve-2016-2177
https://access.redhat.com/security/cve/cve-2016-2178
插件详情
严重性: Critical
ID: 101141
文件名: redhat-RHSA-2017-1658.nasl
版本: 3.10
类型: local
代理: unix
发布时间: 2017/6/30
最近更新时间: 2025/12/15
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.9
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2016-2177
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-static, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-debuginfo, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-devel, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-perl, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-libs, cpe:/o:redhat:enterprise_linux:6
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2017/6/28
漏洞发布日期: 2016/6/20
参考资料信息
CVE: CVE-2016-2177, CVE-2016-2178, CVE-2016-6304, CVE-2016-8610
RHSA: 2017:1658