Show Table of Contents
Capítulo 7. CVE fijos
JBoss EAP 7.1 incluye correcciones para los siguientes problemas relacionados con la seguridad:
- CVE-2016-6311: La dirección IP interna se divulga en la redirección cuando no se establece el campo de Host del encabezado del pedido
- CVE-2016-2141: Adición de verificaciones de autorización en forma predeterminada al recibir mensajes de JGroups
- CVE-2016-5406: Los transformadores descartan las configuraciones de RBAC para esclavos de legado que ejecutan las versiones 1.8 y anteriores de la API de administración
- CVE-2016-4993: Inyección de encabezado HTTP/división de respuestas
- CVE-2015-0254: XXE y RCE vía extensión de XSL en las etiquetas JSTL XML
- CVE-2016-7046: Solicitud de proxy de URL extensa deriva en java.nio.BufferOverflowException y DoS
- CVE-2016-8627: Posible ataque DOS de escasez de recursos EAP vía solicitudes GET para archivos de registro de servidores
- CVE-2016-7061: Los datos sensibles se pueden exponer a nivel del servidor en el modo de dominio
- CVE-2016-8656: Chown no seguro de server.log en el script jboss init permite escalamiento de privilegios
- CVE-2016-9589: ParseState headerValuesCache se puede explotar para llenar el heap con residuos
- CVE-2017-2595: Archivo arbitrario leído vía traspaso de rutas
- CVE-2016-9606: Resteasy: Desclasificación de Yaml vulnerable a RCE
- CVE-2017-2666: Vulnerabilidad de contrabando de solicitudes HTTP por permitir caracteres no válidos en solicitudes HTTP
- CVE-2017-2670: Un cierre inadecuado de Websocket puede hacer que el hilo de IO quede atrapado en un bucle
- CVE-2016-4978: JMSObjectMessage deserializa los posibles objetos maliciosos, lo que permite la Ejecución del código remoto
- CVE-2017-7525: jackson-databind: Vulnerabilidad de deserialización vía el método readValue de ObjectMapper
- CVE-2017-2582: El analizador de solicitudes SAML reemplaza cadenas especiales con propiedades del sistema
- CVE-2014-9970: jasypt: Vulnerable a un ataque sincronizado en relación con la comparación del hash de contraseña
- CVE-2015-6644: bouncycastle: Divulgación de información en GCMBlockCipher
- CVE-2017-5645: log4j: Vulnerabilidad de deserialización del receptor de socket
- CVE-2017-7536: hibernate-validator: Escalamiento de privilegios al ejecutarse en el administrador de seguridad
- CVE-2017-12165: Un análisis de espacios en blanco inadecuado puede generar un posible contrabando de solicitudes HTTP
- CVE-2017-7559: Posible contrabando de solicitudes http cuando Undertow analiza los encabezados http con espacios en blanco inusuales
- CVE-2016-7066: Permiso ejecutable en todo el mundo en bin/jboss-cli después de la instalación. Cualquier usuario del sistema puede provocar daños o apagar la instancia de JBoss EAP en ejecución
- CVE-2017-12167: Privilegios equivocados en múltiples archivos de propiedades
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.