重要な脆弱性情報 概要 中程度:EAP 6.4.11 用の jboss-ec2-eap 安全性および強化アップデートが提供されています。 種類/深刻度 セキュリティアナウンスメント:中程度 対象 Red Hat Enterprise Linux 6 用 Red Hat JBoss Enterprise Application Platform 6.4 に対する jboss-ec2-eap のアップデートが利用可能です。 説明 Red Hat JBoss Enterprise Application Platform 6 は、Java EE アプリケーション向けのプラットフォームです。これは JBoss アプリケーションサーバー 7 を基盤とし、複数のオープンソースプロジェクトを組み合わせて、包括的な Java EE プラットフォームソリューションを提供します。 修正されたセキュリティ問題: - Commons FileUpload で拒否サービス (DoS) の脆弱性が発見されました。これは、マルチパート境界の長さが、アップロードファイルを読み取るために使用されるバッファ(4096 バイト)のサイズよりわずかに小さい場合に発生します。境界が典型的な数十バイトの長さの場合、拒否サービスを引き起こす可能性があります。(CVE-2016-3092) 強化機能: - jboss-ec2-eap パッケージは、Amazon Web Services (AWS) Elastic Compute Cloud (EC2) 上で Red Hat JBoss Enterprise Application Platform を実行するためのスクリプトを提供します。今回のアップデートにより、Red Hat JBoss Enterprise Application Platform 6.4.11 との互換性が確保されました。 解決策 このアップデートを適用する前に、既存の Red Hat JBoss Enterprise Application Platform のインストールおよびデプロイされたアプリケーションをバックアップしてください。 このアップデートの適用方法に関する詳細は、以下を参照してください:https://access.redhat.com/articles/11258 影響を受ける製品 RHEL 6 x86_64 用 JBoss Enterprise Application Platform 6.4 RHEL 6 i386 用 JBoss Enterprise Application Platform 6.4 RHEL 6 x86_64 用 JBoss Enterprise Application Platform 6 RHEL 6 i386 用 JBoss Enterprise Application Platform 6 リゾルブ BZ - 1349468 - CVE-2016-3092 tomcat: 脆弱な FileUpload パッケージの使用により拒否サービスが発生する可能性 CVE CVE-2016-3092 参照 https://access.redhat.com/security/updates/classification/#moderate