CVE-2014-0160 (別名 heartbleed) は JBoss に影響しますか?
Environment
- Red Hat JBoss Enterprise Application Platform (EAP)
- 5.x
- 6.x
- JBoss Enterprise Web Server (EWS)
- 1.x
- 2.x
Issue
- CVE-2014-0160 (別名 heartbleed) は JBoss に影響しますか?
- JBoss は CVE-2014-0160 による攻撃を受けますか?
- JBoss EAP 4.2 および JBoss BRMS 5.3 は CVE-2014-0160 の影響を受けますか?
- JBoss EAP および JBoss BRMS に同梱される openssl のバージョンを確認するにはどうしたら良いですか?
Resolution
- デフォルトでは、JBoss EAP は Java 実装の SSL を使用します。したがって、heartbleed は OpenSSL 1.0.1 ~ 1.0.1f にしか影響しないため、JBoss EAP は攻撃を受けません。
- 詳細については、official Red Hat CVE statement を参照してください。
- ネイティブコネクターが RHEL で使用されている場合は、RHEL オペレーティングシステムで使用される SSL のバージョンがデフォルト設定となります。RHEL 6 の場合は、OpenSSL CVE-2014-0160 Heartbleed bug and Red Hat Enterprise Linux で説明されているようにアップデートしなければいけない可能性があります。
- JBoss 製品は、RHEL 以外のオペレーティングシステム用ネイティブコンポーネントで OpenSSL を提供および使用する可能性がありますが、これらの OpenSSL バージョンは攻撃を受けません。詳細については、このナレッジを参照してください。
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments