第6章 修正された CVE

JBoss EAP 7.2 には、以下のセキュリティー関連の問題修正が含まれています。

  • CVE-2017-7503: xml frameworks: JBoss EAP 7.0.5 implementation of javax.xml.transform.TransformerFactory is vulnerable to XXE (xml frameworks: javax.xml.transform.TransformerFactory の JBoss EAP 7.0.5 実装は XXE に対して脆弱である)
  • CVE-2018-10237: guava: Unbounded memory allocation in AtomicDoubleArray and CompoundOrdering classes allow remote attackers to cause a denial of service (guava: AtomicDoubleArray および CompoundOrdering クラスのバインドされていないメモリー割り当てによってリモート攻撃者によるサービス拒否攻撃が可能)
  • CVE-2018-1067: undertow: HTTP header injection using CRLF with UTF-8 encoding (undertow: UTF-8 エンコードでの CRLF を使用した HTTP ヘッダーのインジェクト)
  • CVE-2018-10862: wildfly-core: Path traversal can allow the extraction of .war archives to write arbitrary files (wildfly-core: パストラバーサルによって .war アーカイブの抽出で任意のファイルに書き込みが可能)
  • CVE-2017-12174: artemis/hornetq: Memory exhaustion via UDP and JGroups discovery (UDP および JGroups の検索によるメモリーの枯渇)
  • CVE-2017-12629: Solr: Code execution via entity expansion (Solr: エンティティー拡大によるコード実行)
  • CVE-2017-15089: infinispan: Unsafe deserialization of malicious object injected into data cache (infinispan: データキャッシュにインジェクトされた悪意のあるオブジェクトの安全でないデシリアライズ)
  • CVE-2017-12196: undertow: Client can use bogus uri in Digest authentication (undertow: クライアントは Digest 認証で偽の URI を使用できる)
  • CVE-2018-8088: slf4j: Deserialisation vulnerability in EventData constructor can allow for arbitrary code execution (slf4j: EventData コンストラクターのデシリアライズの脆弱性によって任意コードの実行が可能になる)
  • CVE-2018-1047: undertow: Path traversal in ServletResourceManager class (undertow: ServletResourceManager クラスのパストラバーサル)
  • CVE-2018-8039: apache-cxf: TLS hostname verification does not work correctly with com.sun.net.ssl.* (apache-cxf: com.sun.net.ssl.* を用いた TLS ホスト名の検証が適切に動作しない)