更新现在可用于 Red Hat Enterprise Linux 7.2 的 Red Hat JBoss Enterprise Application Platform 6。Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其针对每个漏洞给出了详细的严重性等级。Red Hat JBoss Enterprise Application Platform 7 是基于 JBoss Application Server 7 的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 7.2.1 版本可替换 Red Hat JBoss Enterprise Application Platform 7.2.0，并且包括缺陷修复和增强功能。请参阅 Red Hat JBoss Enterprise Application Platform 7.2.1 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。安全修复：* jackson-databind：使用 MyBatis 的序列化小工具的默认输入，可能发生信息外泄 (CVE-2018-11307) * jackson-databind：Jodd-db 库的类型的不当多型态还原串行化 (CVE-2018-12022) * jackson-databind：Oracle JDBC 驱动程序的类型的不当多态还原序列化 (CVE-2018-12023) * undertow：在 Undertow 可以从随机缓冲区提供数据的某些情况下的信息泄露 (CVE-2018-14642) * jackson-databind：某些 JDK 类别中的信息外泄/XXE (CVE-2018-14720) * jackson-databind：在 axis2-jaxws 类别中的服务器端请求伪造 (SSRF) (CVE-2018-14721) * wildfly：PID 文件上的争用条件允许本地用户终止任意进程 (CVE-2019-3805) * wildfly：重复使用了 EE 并行线程的错误 SecurityIdentity (CVE-2019-3894) 如需安全性问题的详细数据，包括影响、CVSS 分数及其他相关信息，请参阅“参照”一节列出的 CVE 页面。

检测

RHEL 6：JBoss EAP (RHSA-2019:1107)

critical Nessus 插件 ID 124840

版本 1.7