更新现在可用于 Red Hat Enterprise Linux 6 的 Red Hat JBoss Enterprise Application Platform 6.4 和可用于 Red Hat Enterprise Linux 7 的 Red Hat JBoss Enterprise Application Platform 6.4。Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其针对每个漏洞给出了详细的严重性等级。Red Hat JBoss Enterprise Application Platform 是适用于基于 JBoss Application Server 的 Java 应用程序的平台。此版本包括缺陷补丁，以及新的 OpenSSL 版本。有关更多信息，请参阅“参考”部分中链接的知识库文章。建议 Red Hat Enterprise Linux 7 上的所有 Red Hat JBoss Enterprise Application Platform 6.4 用户都升级到这些更新后的程序包。必须重新启动 JBoss 服务器进程才能使更新生效。安全修复：* 在会话重新协商期间，OpenSSL 处理 TLS 状态请求扩展数据的方式中发现内存泄露缺陷。远程攻击者可能会导致使用 OpenSSL 的 TLS 服务器消耗过量的内存，并且如果启用 OCSP 装订支持，则可能在耗尽全部可用内存后意外退出。(CVE-2016-6304) * 据发现，OpenSSL 在计算数字签名算法 (DSA) 签名时，未一律使用常数时间操作。本地攻击者可利用此缺陷取得属于相同系统上运行之另一用户或服务的私人 DSA 密钥。(CVE-2016-2178) * 在连接握手期间，TLS/SSL 协议定义 ALERT 数据包的处理方式中发现拒绝服务缺陷。远程攻击者可利用此缺陷，造成 TLS/SSL 服务器消耗过量 CPU，并无法接受其他客户端的连接。(CVE-2016-8610) * 在 OpenSSL 执行指针算法的方式中，发现多个整数溢出缺陷。远程攻击者可能会利用此缺陷导致使用 OpenSSL 的 TLS/SSL 服务器或客户端崩溃。(CVE-2016-2177) Red Hat 在此感谢 OpenSSL 项目报告 CVE-2016-6304 以及 Shi Lei (Gear Team of Qihoo 360 Inc.) 报告 CVE-2016-8610。上游感谢原始报告者 Shi Lei (Gear Team of Qihoo 360 Inc.) 报告 CVE-2016-6304。

检测

RHEL 6 / 7 : JBoss EAP (RHSA-2017:1658)

critical Nessus 插件 ID 101141

版本 3.10