更新现在可用于 Red Hat Enterprise Linux 7.0 的 Red Hat JBoss Enterprise Application Platform 6。Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其针对每个漏洞给出了详细的严重性等级。Red Hat JBoss Enterprise Application Platform 是适用于基于 JBoss Application Server 的 Java 应用程序的平台。此 Red Hat JBoss Enterprise Application Platform 7.0.9 版本可替换 Red Hat JBoss Enterprise Application Platform 7.0.8，并包含多项缺陷修复和增强功能，详情请参阅“参考”部分中链接的版本说明文档。安全修复：* 据发现，Apache Lucene 会接受来自未经验证用户、且可通过后续 post 请求操控的对象。攻击者可利用此缺陷组合对象，进而在服务器启用 Apache Solr 的 Config API 时，允许执行任意代码。(CVE-2017-12629) * 已发现 jboss init 脚本执行了不安全的文件处理，其可导致本地权限升级。(CVE-2017-12189) * 已发现在 RESTEasy 中无必要性时，却会启用 GZIPInterceptor。攻击者可利用此缺陷启动拒绝服务攻击。(CVE-2016-6346) * 据发现，CVE-2017-2666 的修复不完整，查询字符串和路径参数中仍然允许使用无效字符。可利用此缺陷，通过与同样允许无效字符但解释不同的代理结合，将数据注入 HTTP 响应。通过操控 HTTP 响应，攻击者可侵害 Web 缓存、执行 XSS 攻击或从非自身请求获得敏感信息。(CVE-2017-7559) * 据发现，CORS Filter 未新增表示响应会随着来源而不同的 HTTP Vary 标头。在某些情况下，这允许客户端和服务器端缓存破坏。(CVE-2017-7561) * 据发现，包含用户到角色的映射之管理和应用程序领域配置的基于属性的文件，为所有人皆可读取，允许访问登录至系统的所有用户的用户和角色信息。(CVE-2017-12167) * 据发现，Undertow 以异常的空格处理 http 请求标头，这可能会造成 http 请求走私问题。(CVE-2017-12165) Red Hat 在此感谢 Mikhail Egorov (Odin) 项目报告 CVE-2016-6346。CVE-2017-7559 和 CVE-2017-12165 问题是由 Stuart Douglas (Red Hat) 发现；CVE-2017-7561 问题是由 Jason Shepherd (Red Hat Product Security) 发现；以及 CVE-2017-12167 问题是由 Brian Stansberry (Red Hat) 和 Jeremy Choi (Red Hat) 发现。

eap7-jboss-ec2-eap 的更新现在可用于 Red Hat Enterprise Linux 6 的 Red Hat JBoss Enterprise Application Platform 7.0 和可用于 Red Hat Enterprise Linux 7 的 Red Hat JBoss Enterprise Application Platform 7.0。Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其针对每个漏洞给出了详细的严重性等级。eap7-jboss-ec2-eap 程序包为 Amazon Web Service (AWS) Elastic Compute Cloud (EC2) 上运行的 Red Hat JBoss Enterprise Application Platform 提供脚本。通过此更新，已更新 eap7-jboss-ec2-eap 程序包以确保兼容 Red Hat JBoss Enterprise Application Platform 7.0.9。请参阅“参考”部分链接的 JBoss Enterprise Application Platform 7.0.9 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。安全修复：* 据发现，Apache Lucene 会接受来自未经验证用户、且可通过后续 post 请求操控的对象。攻击者可利用此缺陷组合对象，进而在服务器启用 Apache Solr 的 Config API 时，允许执行任意代码。(CVE-2017-12629) * 已发现 jboss init 脚本执行了不安全的文件处理，其可导致本地权限升级。(CVE-2017-12189) * 已发现在 RESTEasy 中无必要性时，却会启用 GZIPInterceptor。攻击者可利用此缺陷启动拒绝服务攻击。(CVE-2016-6346) * 据发现，CVE-2017-2666 的修复不完整，查询字符串和路径参数中仍然允许使用无效字符。可利用此缺陷，通过与同样允许无效字符但解释不同的代理结合，将数据注入 HTTP 响应。通过操控 HTTP 响应，攻击者可侵害 Web 缓存、执行 XSS 攻击或从非自身请求获得敏感信息。(CVE-2017-7559) * 据发现，CORS Filter 未新增表示响应会随着来源而不同的 HTTP Vary 标头。在某些情况下，这允许客户端和服务器端缓存破坏。(CVE-2017-7561) * 据发现，包含用户到角色的映射之管理和应用程序领域配置的基于属性的文件，为所有人皆可读取，允许访问登录至系统的所有用户的用户和角色信息。(CVE-2017-12167) * 据发现，Undertow 以异常的空格处理 http 请求标头，这可能会造成 http 请求走私问题。(CVE-2017-12165) Red Hat 在此感谢 Mikhail Egorov (Odin) 项目报告 CVE-2016-6346。CVE-2017-7559 和 CVE-2017-12165 问题是由 Stuart Douglas (Red Hat) 发现；CVE-2017-7561 问题是由 Jason Shepherd (Red Hat Product Security) 发现；以及 CVE-2017-12167 问题是由 Brian Stansberry (Red Hat) 和 Jeremy Choi (Red Hat) 发现。

更新现在可用于 Red Hat Enterprise Linux 7.0 的 Red Hat JBoss Enterprise Application Platform 7。Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其针对每个漏洞给出了详细的严重性等级。Red Hat JBoss Enterprise Application Platform 是适用于基于 JBoss Application Server 的 Java 应用程序的平台。此 Red Hat JBoss Enterprise Application Platform 7.0.9 版本可替换 Red Hat JBoss Enterprise Application Platform 7.0.8，并包含多项缺陷修复和增强功能，详情请参阅“参考”部分中链接的版本说明文档。安全修复：* 据发现，Apache Lucene 会接受来自未经验证用户、且可通过后续 post 请求操控的对象。攻击者可利用此缺陷组合对象，进而在服务器启用 Apache Solr 的 Config API 时，允许执行任意代码。(CVE-2017-12629) * 已发现 jboss init 脚本执行了不安全的文件处理，其可导致本地权限升级。(CVE-2017-12189) * 已发现在 RESTEasy 中无必要性时，却会启用 GZIPInterceptor。攻击者可利用此缺陷启动拒绝服务攻击。(CVE-2016-6346) * 据发现，CVE-2017-2666 的修复不完整，查询字符串和路径参数中仍然允许使用无效字符。可利用此缺陷，通过与同样允许无效字符但解释不同的代理结合，将数据注入 HTTP 响应。通过操控 HTTP 响应，攻击者可侵害 Web 缓存、执行 XSS 攻击或从非自身请求获得敏感信息。(CVE-2017-7559) * 据发现，CORS Filter 未新增表示响应会随着来源而不同的 HTTP Vary 标头。在某些情况下，这允许客户端和服务器端缓存破坏。(CVE-2017-7561) * 据发现，包含用户到角色的映射之管理和应用程序领域配置的基于属性的文件，为所有人皆可读取，允许访问登录至系统的所有用户的用户和角色信息。(CVE-2017-12167) * 据发现，Undertow 以异常的空格处理 http 请求标头，这可能会造成 http 请求走私问题。(CVE-2017-12165) Red Hat 在此感谢 Mikhail Egorov (Odin) 项目报告 CVE-2016-6346。CVE-2017-7559 和 CVE-2017-12165 问题是由 Stuart Douglas (Red Hat) 发现；CVE-2017-7561 问题是由 Jason Shepherd (Red Hat Product Security) 发现；以及 CVE-2017-12167 问题是由 Brian Stansberry (Red Hat) 和 Jeremy Choi (Red Hat) 发现。

适用于 RHEL 7 的 Red Hat Satellite 6.5 现在可用，包含安全修补程序、缺陷修复和增强。Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其针对每个漏洞给出了详细的严重性等级。Red Hat Satellite 是基于 Linux 基础架构的系统管理工具。它允许通过单一集中化工具配置、远程管理和监控多项 Linux 部署。安全修复：* RESTEasy：在 RESTEasy 中滥用 GZIPInterceptor 会导致拒绝服务攻击 (CVE-2016-6346) * pulp：不当路径解析导致 iso 存储库的过度写入 (CVE-2018-10917) * foreman：使用痕迹的所有页面上的持续 XSS (CVE-2018-14664) * foreman：实体创建之后，在成功通知中存储 XSS (CVE-2018-16861) * katello：在订阅和存储库页面中存储 XSS (CVE-2018-16887) * candlepin：通过日志文件凭证暴露 (CVE-2019-3891) 有关此安全问题的详细信息，包括其影响、CVSS 分数、致谢和其他相关信息，请参阅列于“参考”部分的 CVE 页面。其他更改：此更新还修复了多个缺陷并添加了多项增强。“参考”部分链接的版本说明文档中提供这些更改的文档。

jboss-ec2-eap 的更新现在可用于 RHEL 6 的 Red Hat JBoss Enterprise Application Platform 6.4。Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其针对每个漏洞给出了详细的严重性等级。jboss-ec2-eap 程序包为 Amazon Web Services (AWS) Elastic Compute Cloud (EC2) 上运行的 Red Hat JBoss Enterprise Application Platform 提供脚本。通过此更新，已更新 jboss-ec2-eap 程序包以确保兼容 Red Hat JBoss Enterprise Application Platform 6.4.14。安全修复：* 已发现在特定版本 Red Hat Enterprise Linux 中的 EAP 程序包，针对 /etc/sysconfig/jbossas 配置文件使用错误权限。此文件可写入 jboss 群组 (root:jboss, 664)。在使用经典 /etc/init.d init 脚本的系统上（即在 Red Hat Enterprise Linux 6 及其更早的版本上），jboss init 脚本以该文件为来源，在开启、停止或重启 jboss 服务时，使用根权限执行其内容。(CVE-2016-8657) * 已发现在处理 Apache Tomcat servlet 和 JSP 引擎中的 HTTPS 请求时出现的编程错误，可能通过无限循环导致拒绝服务。(CVE-2017-6056) * 已发现在 RESTEasy 中无必要性时，却会启用 GZIPInterceptor。攻击者可利用此缺陷启动拒绝服务攻击。(CVE-2016-6346) Red Hat 在此感谢 Mikhail Egorov (Odin) 项目报告 CVE-2016-6346 问题。

远程 Redhat Enterprise Linux 5 主机上安装的程序包受到 RHSA-2017:0826 公告中提及的多个漏洞影响。

    Red Hat JBoss Enterprise Application Platform 6 是适用于基于 JBoss Application Server 7 的 Java 应用程序的平台。

    此 Red Hat JBoss Enterprise Application Platform 6.4.14 版本可替换 Red Hat JBoss Enterprise Application Platform 6.4.13，并包含多项缺陷修复和增强功能，详情请参阅“参考”部分中链接的版本说明文档。

    安全修复：

    * 已发现在特定版本 Red Hat Enterprise Linux 中的 EAP 程序包，针对 /etc/sysconfig/jbossas 配置文件使用错误权限。此文件可写入 jboss 群组 (root:jboss, 664)。在使用经典 /etc/init.d init 脚本的系统上（即在 Red Hat Enterprise Linux 6 及其更早的版本上），jboss init 脚本以该文件为来源，在开启、停止或重启 jboss 服务时，使用根权限执行其内容。(CVE-2016-8657)

    * 已发现在处理 Apache Tomcat servlet 和 JSP 引擎中的 HTTPS 请求时存在编程错误，可能通过无限循环导致拒绝服务。(CVE-2017-6056)

    * 已发现在 RESTEasy 中无必要性时，却会启用 GZIPInterceptor。攻击者可利用此缺陷启动拒绝服务攻击。(CVE-2016-6346)

    Red Hat 在此感谢 Mikhail Egorov (Odin) 项目报告 CVE-2016-6346 问题。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

更新现在可用于 RHEL 6 的 Red Hat JBoss Enterprise Application Platform 6.4。Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其针对每个漏洞给出了详细的严重性等级。Red Hat JBoss Enterprise Application Platform 6 是适用于基于 JBoss Application Server 7 的 Java 应用程序的平台。此 Red Hat JBoss Enterprise Application Platform 6.4.14 版本可替换 Red Hat JBoss Enterprise Application Platform 6.4.13，并包含多项缺陷补丁和增强，详情请参阅“参考”部分中链接的版本说明文档。安全修复：* 已发现在特定版本 Red Hat Enterprise Linux 中的 EAP 程序包，针对 /etc/sysconfig/jbossas 配置文件使用错误权限。此文件可写入 jboss 群组 (root:jboss, 664)。在使用经典 /etc/init.d init 脚本的系统上（即在 Red Hat Enterprise Linux 6 及其更早的版本上），jboss init 脚本以该文件为来源，在开启、停止或重启 jboss 服务时，使用根权限执行其内容。(CVE-2016-8657) * 已发现在处理 Apache Tomcat servlet 和 JSP 引擎中的 HTTPS 请求时出现的编程错误，可能通过无限循环导致拒绝服务。(CVE-2017-6056) * 已发现在 RESTEasy 中无必要性时，却会启用 GZIPInterceptor。攻击者可利用此缺陷启动拒绝服务攻击。(CVE-2016-6346) Red Hat 在此感谢 Mikhail Egorov (Odin) 项目报告 CVE-2016-6346 问题。

远程 Ubuntu 16.04 LTS / 18.04 LTS / 20.04 LTS / 22.04 LTS / 24.04 LTS / 25.04 主机上安装的多个程序包受到公告 USN-7630-1 中提及的多个漏洞影响。

    发现 RESTEasy 在异步作业中未充分利用随机值。攻击者可能利用此问题来窃取用户数据。此问题仅影响 Ubuntu 14.04 LTS。
    (CVE-2016-6345)

    发现 RESTEasy 在默认情况下启用一个有漏洞的 GZIP 解压缩模块。攻击者可能会利用此问题发起拒绝服务攻击。此问题仅影响 Ubuntu 14.04 LTS。
    (CVE-2016-6346)

    已发现 RESTEasy 在处理某些错误时未正确利用未审查的数据。攻击者可能会利用此问题发起拒绝服务攻击，或执行任意代码。此问题仅影响 Ubuntu 14.04 LTS。(CVE-2016-6347)

    发现 RESTEasy 默认启用易受攻击的 JSON 操纵模块。攻击者可能会利用此问题发起拒绝服务攻击，或执行任意代码。此问题仅影响 Ubuntu 14.04 LTS。(CVE-2016-6348)

    发现 RESTEasy 在默认情况下启用了易受攻击的反序列化模块。攻击者可能会利用此问题发起拒绝服务攻击，或执行任意代码。此问题仅影响 Ubuntu 14.04 LTS。(CVE-2016-7050)

    Nikos Papadopoulos 发现，RESTEasy 在发生某些错误时未能正确处理 URL 编码。攻击者可能利用此问题为网络中的其他用户修改应用的行为。此问题不影响 Ubuntu 24.04 LTS、Ubuntu 24.10和 Ubuntu 25.04中的 resteasy3.0。
    (CVE-2020-10688)

    Mirko Selber 发现，RESTEasy 在 HTTP 响应构建期间未能正确验证用户输入。
    攻击者可能利用此问题造成拒绝服务或执行任意代码。在 Ubuntu 22.04 LTS、Ubuntu 24.04 LTS、Ubuntu 24.10和 Ubuntu 25.04中该问题不影响 resteasy3.0。
    (CVE-2020-1695)

    已发现 RESTEasy 在客户端调用期间未正确处理接收 WebApplicationException。攻击者可能利用此问题来获取潜在敏感的服务器信息。
    (CVE-2020-25633)

    已发现 RESTEasy 未正确使用端点类和方法名称填充异常响应。攻击者可能利用此问题来获取潜在敏感的服务器信息。
    (CVE-2021-20289)

    发现 RESTEasy 在创建临时文件时会使用不正确的权限。攻击者可能会利用此问题来访问敏感信息。(CVE-2023-0482)

    发现 RESTEasy 未能正确处理某些含有 ASCII 控制字符的 HTTP 请求。攻击者可能会利用此问题发起拒绝服务攻击。(CVE-2024-9622)

Tenable 已直接从 Ubuntu 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

更新现在可用于 RHEL 7 的 Red Hat JBoss Enterprise Application Platform 6.4。Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其针对每个漏洞给出了详细的严重性等级。Red Hat JBoss Enterprise Application Platform 6 是适用于基于 JBoss Application Server 7 的 Java 应用程序的平台。此 Red Hat JBoss Enterprise Application Platform 6.4.14 版本可替换 Red Hat JBoss Enterprise Application Platform 6.4.13，并包含多项缺陷补丁和增强，详情请参阅“参考”部分中链接的版本说明文档。安全修复：* 已发现在特定版本 Red Hat Enterprise Linux 中的 EAP 程序包，针对 /etc/sysconfig/jbossas 配置文件使用错误权限。此文件可写入 jboss 群组 (root:jboss, 664)。在使用经典 /etc/init.d init 脚本的系统上（即在 Red Hat Enterprise Linux 6 及其更早的版本上），jboss init 脚本以该文件为来源，在开启、停止或重启 jboss 服务时，使用根权限执行其内容。(CVE-2016-8657) * 已发现在处理 Apache Tomcat servlet 和 JSP 引擎中的 HTTPS 请求时出现的编程错误，可能通过无限循环导致拒绝服务。(CVE-2017-6056) * 已发现在 RESTEasy 中无必要性时，却会启用 GZIPInterceptor。攻击者可利用此缺陷启动拒绝服务攻击。(CVE-2016-6346) Red Hat 在此感谢 Mikhail Egorov (Odin) 项目报告 CVE-2016-6346 问题。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - RESTEasy 启用 GZIPInterceptor，其允许远程攻击者通过不明向量造成拒绝服务。 (CVE-2016-6346)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
105559	RHEL 6：JBoss EAP (RHSA-2018:0002)	Nessus	Red Hat Local Security Checks	2018/1/4	2025/4/29	critical
105522	RHEL 6 / 7 : eap7-jboss-ec2-eap (RHSA-2018:0005)	Nessus	Red Hat Local Security Checks	2018/1/4	2025/4/29	critical
105560	RHEL 7：JBoss EAP (RHSA-2018:0004)	Nessus	Red Hat Local Security Checks	2018/1/4	2025/4/29	critical
125052	RHEL 7：Satellite Server (RHSA-2019:1222)	Nessus	Red Hat Local Security Checks	2019/5/14	2024/11/6	high
97909	RHEL 6：jboss-ec2-eap (RHSA-2017:0829)	Nessus	Red Hat Local Security Checks	2017/3/23	2019/10/24	high
97932	RHEL 5：Red Hat JBoss Enterprise Application Platform 6.4.14 RHEL 5 更新（重要）(RHSA-2017:0826)	Nessus	Red Hat Local Security Checks	2017/3/24	2025/3/20	high
97933	RHEL 6：JBoss EAP (RHSA-2017:0827)	Nessus	Red Hat Local Security Checks	2017/3/24	2024/11/4	high
242054	Ubuntu 16.04 LTS / 18.04 LTS / 20.04 LTS / 22.04 LTS / 24.04 LTS / 25.04 RESTEasy 漏洞 (USN-7630-1)	Nessus	Ubuntu Local Security Checks	2025/7/14	2025/7/14	medium
112253	RHEL 7：JBoss EAP (RHSA-2017:0828)	Nessus	Red Hat Local Security Checks	2018/9/4	2024/8/12	high
219826	Linux Distros 未修补的漏洞: CVE-2016-6346	Nessus	Misc.	2025/3/4	2025/8/20	high

检测

插件搜索

critical

critical

critical

high

high

high

high

medium

high

high