第6章 修正された CVE
JBoss EAP 7.2 には、以下のセキュリティー関連の問題修正が含まれています。
-
CVE-2017-7503:
xml frameworks
: JBoss EAP 7.0.5 implementation ofjavax.xml.transform.TransformerFactory
is vulnerable to XXE (xml frameworks
:javax.xml.transform.TransformerFactory
の JBoss EAP 7.0.5 実装は XXE に対して脆弱である) -
CVE-2018-10237:
guava
: Unbounded memory allocation inAtomicDoubleArray
andCompoundOrdering
classes allow remote attackers to cause a denial of service (guava
:AtomicDoubleArray
およびCompoundOrdering
クラスのバインドされていないメモリー割り当てによってリモート攻撃者によるサービス拒否攻撃が可能) -
CVE-2018-1067:
undertow
: HTTP header injection using CRLF with UTF-8 encoding (undertow
: UTF-8 エンコードでの CRLF を使用した HTTP ヘッダーのインジェクト) -
CVE-2018-10862:
wildfly-core
: Path traversal can allow the extraction of.war
archives to write arbitrary files (wildfly-core
: パストラバーサルによって.war
アーカイブの抽出で任意のファイルに書き込みが可能) -
CVE-2017-12174:
artemis/hornetq
: Memory exhaustion via UDP and JGroups discovery (UDP および JGroups の検索によるメモリーの枯渇) -
CVE-2017-12629:
Solr
: Code execution via entity expansion (Solr
: エンティティー拡大によるコード実行) -
CVE-2017-15089:
infinispan
: Unsafe deserialization of malicious object injected into data cache (infinispan
: データキャッシュにインジェクトされた悪意のあるオブジェクトの安全でないデシリアライズ) -
CVE-2017-12196:
undertow
: Client can use bogus uri in Digest authentication (undertow
: クライアントは Digest 認証で偽の URI を使用できる) -
CVE-2018-8088:
slf4j
: Deserialisation vulnerability in EventData constructor can allow for arbitrary code execution (slf4j
: EventData コンストラクターのデシリアライズの脆弱性によって任意コードの実行が可能になる) -
CVE-2018-1047:
undertow
: Path traversal in ServletResourceManager class (undertow
: ServletResourceManager クラスのパストラバーサル) -
CVE-2018-8039:
apache-cxf
: TLS hostname verification does not work correctly withcom.sun.net.ssl.*
(apache-cxf
:com.sun.net.ssl.*
を用いた TLS ホスト名の検証が適切に動作しない)