CVE-2014-6271 (または shellshock) は JBoss 製品に影響しますか?
Environment
- Red Hat JBoss Enterprise Application Platform (EAP)
- 6.x
- 5.x
- JBoss Business Rules Managment System (BRMS)
- 5.x
- 6.x
- JBoss Portal Platform (EPP)
- 5.x
- 6.x
- JBoss SOA Platform (SOA)
- 5.x
- 6.x
- JBoss Web Server (EWS)
- 1.x
- 2.x
- JBoss Fuse
- 6.x
Issue
- CVE-2014-6271 (または shellshock) は JBoss 製品に影響しますか?
- JBoss 製品において、この脆弱性を軽減するために利用できる (または必要な) パッチはありませんか?
- JBoss 製品では CGI スクリプトを使用しますか?
Resolution
- JBoss 製品には Bash パッケージが同梱されないため、この問題の影響は受けません。
- JBoss 製品には CGI インターフェイスが必要なく、提供もされません。
- Red Hat Enterprise Linux で JBoss 製品を実行している場合は、こちらのナレッジを参照してください。Red Hat Enterprise Linux システムでは bash をアップグレードすることが推奨されます。
- JBoss 製品は、使用しているアプリケーションで JDK API から RuntimeExec を呼び出している場合、または CGI スクリプトを実行するカスタムサーブレットを実行している場合に限り、この問題に影響します。ただし、この 2 つのケースはいずれも推奨されず、JBoss Middleware ソフトウェアポートフォリオとして提供もされていません。
- JBoss Fuse は Apache Mina を使用して SSH 接続を提供してリモートコンテナーにアクセスするため、この問題の影響は受けません。
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments