FERRAMENTAS LINUX: Atualização de níivel importante da Red Hat para o aplicativo JBoss Enterprise, aviso RHSA-2020-0161: 01

terça-feira, 21 de janeiro de 2020

Atualização de níivel importante da Red Hat para o aplicativo JBoss Enterprise, aviso RHSA-2020-0161: 01



Confira !!



Agora está disponível uma atualização para o Red Hat JBoss Enterprise Application Platform 7.2 para Red Hat Enterprise Linux 8. A Segurança do Produto Red Hat avaliou esta atualização como tendo um impacto na segurança de Importante. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS),

----- COMECE A MENSAGEM ASSINADA PGP -----
Hash: SHA256

==================================================== ===================
                   Aviso de Segurança da Red Hat

Sinopse: Importante: Red Hat JBoss Enterprise Application Platform 7.2.6 na atualização de segurança do RHEL 8
ID do comunicado: RHSA-2020: 0161-01
Produto: Red Hat JBoss Enterprise Application Platform
URL do comunicado: https://access.redhat.com/errata/RHSA-2020.0161
Data de emissão: 2020-01-20
Nomes do CVE: CVE-2019-10219 CVE-2019-14540 CVE-2019-14885
                   CVE-2019-14888 CVE-2019-14892 CVE-2019-14893
                   CVE-2019-16335 CVE-2019-16869 CVE-2019-16942
                   CVE-2019-16943 CVE-2019-17267 CVE-2019-17531
==================================================== ===================

1. Resumo:

Uma atualização está agora disponível para o Red Hat JBoss Enterprise Application
Plataforma 7.2 para Red Hat Enterprise Linux 8.

A Red Hat Product Security avaliou esta atualização como tendo um impacto na segurança
de Importante. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS),
que fornece uma classificação de gravidade detalhada, está disponível para cada vulnerabilidade
no link CVE na seção References.

2. Versões / arquiteturas relevantes:

Red Hat JBoss EAP 7.2 para RHEL 8 - noarch

3. Descrição:

O Red Hat JBoss Enterprise Application Platform 7 é uma plataforma para Java
aplicativos baseados no tempo de execução do aplicativo WildFly.

Esta versão do Red Hat JBoss Enterprise Application Platform 7.2.6 serve
como um substituto para o Red Hat JBoss Enterprise Application Platform 7.2.5,
e inclui correções e aprimoramentos. Veja o Red Hat JBoss Enterprise
Notas da Versão do Application Platform 7.2.6 para obter informações sobre os
correções significativas de bugs e aprimoramentos incluídos nesta versão.

Correção (s) de segurança:

undertow: possível negação de serviço (DOS) no servidor HTTP undertow
ouvindo
em HTTPS (CVE-2019-14888)

* jboss-cli: O valor do atributo de segurança da propriedade do sistema JBoss EAP: Vault é
revelado no comando 'reload' da CLI (CVE-2019-14885)

* netty: contrabando de solicitação HTTP por espaço em branco mal tratado antes dos dois pontos
dentro
Cabeçalhos HTTP (CVE-2019-16869)

* jackson-databind: problema de digitação polimórfica relacionado a
com.zaxxer.hikari.HikariConfig (CVE-2019-14540)

* jackson-databind: gadgets de serialização nas classes do commons-dbcp
pacote
(CVE-2019-16942)

* jackson-databind: gadgets de serialização em classes do
pacote de configuração do commons (CVE-2019-14892)

* jackson-databind: problema de digitação polimórfica relacionado a
com.zaxxer.hikari.HikariDataSource (CVE-2019-16335)

* jackson-databind: Gadgets de serialização nas classes do pacote p6spy
(CVE-2019-16943)

* jackson-databind: problema de digitação polimórfica ao ativar a digitação padrão
para um
terminal JSON exposto externamente e com apache-log4j-extra no diretório
caminho de classe
leva à execução do código (CVE-2019-17531)

* jackson-databind: Gadgets de serialização nas classes do pacote xalan
(CVE-2019-14893)

* hibernate-validator: o validator safeHTML permite XSS (CVE-2019-10219)

* jackson-databind: Gadgets de serialização nas classes do pacote ehcache
(CVE-2019-17267)

4. Solução:

Antes de aplicar esta atualização, verifique se todas as erratas lançadas anteriormente
relevantes para o seu sistema foram aplicados.

Para detalhes sobre como aplicar esta atualização, consulte:

https://access.redhat.com/articles/11258

5. Bugs corrigidos (https://bugzilla.redhat.com/):

1738673 - validador de hibernação CVE-2019-10219: validator safeHTML permite XSS
1755831 - CVE-2019-16335 jackson-databind: problema de digitação polimórfica relacionada a com.zaxxer.hikari.HikariDataSource
1755849 - CVE-2019-14540 jackson-databind: problema de digitação polimórfica relacionada a com.zaxxer.hikari.HikariConfig
1758167 - CVE-2019-17267 jackson-databind: Gadgets de serialização nas classes do pacote ehcache
1758171 - CVE-2019-14892 jackson-databind: Gadgets de serialização em classes do pacote de configuração do commons
1758182 - CVE-2019-14893 jackson-databind: Gadgets de serialização nas classes do pacote xalan
1758187 - CVE-2019-16942 jackson-databind: Gadgets de serialização em classes do pacote commons-dbcp
1758191 - CVE-2019-16943 jackson-databind: Gadgets de serialização nas classes do pacote p6spy
1758619 - CVE-2019-16869 netty: contrabando de solicitação HTTP por espaço em branco mal tratado antes da vírgula nos cabeçalhos HTTP
1770615 - CVE-2019-14885 JBoss EAP: o valor do atributo de segurança da propriedade do sistema Vault é revelado no comando 'reload' da CLI
1772464 - undertow CVE-2019-14888: possível Negação de serviço (DOS) no servidor HTTP undertow ouvindo em HTTPS
1775293 - CVE-2019-17531 jackson-databind: problema de digitação polimórfica ao ativar a digitação padrão para um terminal JSON exposto externamente e ter apache-log4j-extra no caminho de classe leva à execução do código

6. Problemas do JIRA corrigidos (https://issues.jboss.org/):

JBEAP-17491 - [GSS] (7.2.z) Atualize a solda de 3.0.6.Final-redhat-00002 para 3.0.6.Final-redhat-00003
JBEAP-17541 - (7.2.z) Atualize o jastow de 2.0.7.Final-redhat-00001 para 2.0.8.
JBEAP-17651 - [GSS] (7.2.z) Atualize o Apache CXF de 3.2.10.redhat-00001 para 3.2.11.redhat-00001
JBEAP-17652 - [GSS] (7.2.z) Atualize o ORM do Hibernate de 5.3.13 para 5.3.14
JBEAP-17666 - [GSS] (7.2.z) Atualize o jboss-ejb-client de 4.0.23.Final-redhat-00001 para 4.0.27.Final
JBEAP-17773 - [GSS] (7.2.z) Upgrade Undertow de 2.0.26.SP3-redhat-00001 para 2.0.28.SP1
JBEAP-17779 - (7.2.z) Atualize o Hibernate Validator de 6.0.16 para 6.0.18
JBEAP-17789 - [GSS] (7.2.z) Atualize XNIO de 3.7.6.SP1 para 3.7.6.SP2
JBEAP-17805 - [GSS] (7.2.z) Atualize o HAL de 3.0.17 para 3.0.19.
JBEAP-17836 - Bug do rastreador para a liberação EAP 7.2.6 para RHEL-8
JBEAP-17837 - (7.2.z) Atualize as ligações PicketLink de 2.5.5.SP12-redhat-00009 para 2.5.5.SP12-redhat-00010
JBEAP-17887 - [GSS] (7.2.z) Atualize o wildfly-http-client de 1.0.17 para 1.0.18
JBEAP-17898 - (7.2.z) Atualize o PicketLink nas ligações de PicketLink de 2.5.5.SP12-redhat-00006 para 2.5.5.SP12-redhat-00009
JBEAP-17905 - (7.2.z) Undertow de atualização nas ligações PicketLink de 2.0.3.Final para 2.0.26.Final
JBEAP-17906 - [GSS] (7.2.z) Atualize o JSF com base no Mojarra 2.3.5.SP3-redhat-00003 para 2.3.5.SP3-redhat-00004
JBEAP-17940 - (7.2.z) Atualize o wildfly-transaction-client de 1.1.6.Final-redhat-00001 para 1.1.8.Final-redhat-00001
JBEAP-17945 - [GSS] (7.2.z) Atualize o jberet de 1.3.2.Final-redhat-00001 para 1.3.5.Final-redhat-00001
O JBAP-17974 - (7.2.z) atualiza o Netty de 4.1.34.Final-redhat-00002 para 4.1.42.Final-redhat-00001
JBEAP-17998 - [GSS] (7.2.z) Atualize a API do JBoss JSF de 2.3.5.SP1 para 2.3.5.SP2
JBEAP-18169 - [GSS] (7.2.z) Atualize o FasterXML jackson-databind de 2.9.10 para 2.9.10.1
JBEAP-18170 - [GSS] (7.2.z) Atualize o FasterXML Jackson de 2.9.9 para 2.9.10

7. Lista de Pacotes:

Red Hat JBoss EAP 7.2 para RHEL 8:

Fonte:
eap7-apache-cxf-3.2.11-1.redhat_00001.1.el8eap.src.rpm
eap7-glassfish-jsf-2.3.5-6.SP3_redhat_00004.1.el8eap.src.rpm
eap7-hal-console-3.0.19-1.Final_redhat_00001.1.el8eap.src.rpm
eap7-hibernate-5.3.14-1.Final_redhat_00001.1.el8eap.src.rpm
EAP7-hibernate-validator-6.0.18-1.Final_redhat_00001.1.el8eap.src.rpm
eap7-jackson-annotations-2.9.10-1.redhat_00003.1.el8eap.src.rpm
eap7-jackson-core-2.9.10-1.redhat_00003.1.el8eap.src.rpm
eap7-jackson-databind-2.9.10.1-1.redhat_00001.1.el8eap.src.rpm
eap7-jackson-dataformats-binary-2.9.10-1.redhat_00003.1.el8eap.src.rpm
eap7-jackson-dataformats-text-2.9.10-1.redhat_00003.1.el8eap.src.rpm
eap7-jackson-jaxrs-provider-2.9.10-1.redhat_00003.1.el8eap.src.rpm
eap7-jackson-modules-base-2.9.10-2.redhat_00003.1.el8eap.src.rpm
eap7-jackson-modules-java8-2.9.10-1.redhat_00003.1.el8eap.src.rpm
eap7-jberet-1.3.5-1.Final_redhat_00001.1.el8eap.src.rpm
Ep7-jboss-ejb-client-4.0.27-1.Final_redhat_00001.1.el8eap.src.rpm
eap7-jboss-jsf-api_2.3_spec-2.3.5-3.SP2_redhat_00001.1.el8eap.src.rpm
O arquivo eap7-jboss-server-migration-1.3.1-7.Final_redhat_00007.1.el8eap.src.rpm
eap7-jboss-xnio-base-3.7.6-3.SP2_redhat_00001.1.el8eap.src.rpm
Ep7-netty-4.1.42-1.Final_redhat_00001.1.el8eap.src.rpm
eap7-picketlink-bindings-2.5.5-21.SP12_redhat_00010.1.el8eap.src.rpm
eap7-undertow-2.0.28-2.SP1_redhat_00001.1.el8eap.src.rpm
Agora, você pode usar o seguinte código de barras para o seu e-mail:
eap7-weld-core-3.0.6-3.Final_redhat_00003.1.el8eap.src.rpm
eap7-wildfly-7.2.6-5.GA_redhat_00001.1.el8eap.src.rpm
EAP7-wildfly-http-client-1.0.18-2.Final_redhat_00001.1.el8eap.src.rpm
EAP7-wildfly-transaction-client-1.1.8-1.Final_redhat_00001.1.el8eap.src.rpm

noarch:
eap7-apache-cxf-3.2.11-1.redhat_00001.1.el8eap.noarch.rpm
eap7-apache-cxf-rt-3.2.11-1.redhat_00001.1.el8eap.noarch.rpm
eap7-apache-cxf-services-3.2.11-1.redhat_00001.1.el8eap.noarch.rpm
eap7-apache-cxf-tools-3.2.11-1.redhat_00001.1.el8eap.noarch.rpm
eap7-glassfish-jsf-2.3.5-6.SP3_redhat_00004.1.el8eap.noarch.rpm
eap7-hal-console-3.0.19-1.Final_redhat_00001.1.el8eap.noarch.rpm
eap7-hibernate-5.3.14-1.Final_redhat_00001.1.el8eap.noarch.rpm
O arquivo eap7-hibernate-core-5.3.14-1.Final_redhat_00001.1.el8eap.noarch.rpm
eap7-hibernate-entitymanager-5.3.14-1.Final_redhat_00001.1.el8eap.noarch.rpm
O arquivo eap7-hibernate-envers-5.3.14-1.Final_redhat_00001.1.el8eap.noarch.rpm
O arquivo eap7-hibernate-java8-5.3.14-1.Final_redhat_00001.1.el8eap.noarch.rpm
EAP7-hibernate-validator-6.0.18-1.Final_redhat_00001.1.el8eap.noarch.rpm
O arquivo eap7-hibernate-validator-cdi-6.0.18-1.Final_redhat_00001.1.el8eap.noarch.rpm
eap7-jackson-annotations-2.9.10-1.redhat_00003.1.el8eap.noarch.rpm
eap7-jackson-core-2.9.10-1.redhat_00003.1.el8eap.noarch.rpm
eap7-jackson-databind-2.9.10.1-1.redhat_00001.1.el8eap.noarch.rpm
eap7-jackson-dataformats-binary-2.9.10-1.redhat_00003.1.el8eap.noarch.rpm
eap7-jackson-dataformats-text-2.9.10-1.redhat_00003.1.el8eap.noarch.rpm
eap7-jackson-datatype-jdk8-2.9.10-1.redhat_00003.1.el8eap.noarch.rpm
eap7-jackson-datatype-jsr310-2.9.10-1.redhat_00003.1.el8eap.noarch.rpm
eap7-jackson-jaxrs-base-2.9.10-1.redhat_00003.1.el8eap.noarch.rpm
eap7-jackson-jaxrs-json-provider-2.9.10-1.redhat_00003.1.el8eap.noarch.rpm
eap7-jackson-module-jaxb-annotations-2.9.10-2.redhat_00003.1.el8eap.noarch.rpm
eap7-jackson-modules-base-2.9.10-2.redhat_00003.1.el8eap.noarch.rpm
eap7-jackson-modules-java8-2.9.10-1.redhat_00003.1.el8eap.noarch.rpm
Ep7-jberet-1.3.5-1.Final_redhat_00001.1.el8eap.noarch.rpm
Ep7-jberet-core-1.3.5-1.Final_redhat_00001.1.el8eap.noarch.rpm
Ep7-jboss-ejb-client-4.0.27-1.Final_redhat_00001.1.el8eap.noarch.rpm
eap7-jboss-jsf-api_2.3_spec-2.3.5-3.SP2_redhat_00001.1.el8eap.noarch.rpm
O arquivo eap7-jboss-server-migration-1.3.1-7.Final_redhat_00007.1.el8eap.noarch.rpm
O arquivo eap7-jboss-server-migration-cli-1.3.1-7.Final_redhat_00007.1.el8eap.noarch.rpm
Ep7-jboss-server-migration-core-1.3.1-7.Final_redhat_00007.1.el8eap.noarch.rpm
O arquivo eap7-jboss-server-migration-eap6.4-1.3.1-7.Final_redhat_00007.1.el8eap.noarch.rpm
O servidor de migração ep7-jboss-server-migration-eap6.4-to-eap7.2-1.3.1-7.Final_redhat_00007.1.el8eap.noarch.rpm
O arquivo eap7-jboss-server-migration-eap7.0-1.3.1-7.Final_redhat_00007.1.el8eap.noarch.rpm
O servidor de migração ep7-jboss-server-migration-eap7.0-to-eap7.2-1.3.1-7.Final_redhat_00007.1.el8eap.noarch.rpm
O arquivo eap7-jboss-server-migration-eap7.1-1.3.1-7.Final_redhat_00007.1.el8eap.noarch.rpm
O servidor de migração do servidor java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / server
O arquivo eap7-jboss-server-migration-eap7.2-1.3.1-7.Final_redhat_00007.1.el8eap.noarch.rpm
O arquivo eap7-jboss-server-migration-wildfly10.0-1.3.1-7.Final_redhat_00007.1.el8eap.noarch.rpm
O servidor de migração do java-jboss-server-wildfly10.0-to-eap7.2-1.3.1-7.Final_redhat_00007.1.el8eap.noarch.rpm
O arquivo eap7-jboss-server-migration-wildfly10.1-1.3.1-7.Final_redhat_00007.1.el8eap.noarch.rpm
O servidor de migração do java-jboss-server-wildfly10.1-to-eap7.2-1.3.1-7.Final_redhat_00007.1.el8eap.noarch.rpm
Ep7-jboss-server-migration-wildfly11.0-1.3.1-7.Final_redhat_00007.1.el8eap.noarch.rpm
O servidor de migração do servidor java-java-java-java-java-java-java-java-java-java-java-java-java-java-java
O arquivo eap7-jboss-server-migration-wildfly12.0-1.3.1-7.Final_redhat_00007.1.el8eap.noarch.rpm
O servidor de migração do java-jboss-server-wildfly12.0-to-eap7.2-1.3.1-7.Final_redhat_00007.1.el8eap.noarch.rpm
Ep7-jboss-server-migration-wildfly13.0-server-1.3.1-7.Final_redhat_00007.1.el8eap.noarch.rpm
O servidor eap7-jboss-server-migration-wildfly14.0-server-1.3.1-7.Final_redhat_00007.1.el8eap.noarch.rpm
O arquivo eap7-jboss-server-migration-wildfly8.2-1.3.1-7.Final_redhat_00007.1.el8eap.noarch.rpm
O servidor de migração do java-jboss-server-wildfly8.2-to-eap7.2-1.3.1-7.Final_redhat_00007.1.el8eap.noarch.rpm
Ep7-jboss-server-migration-wildfly9.0-1.3.1-7.Final_redhat_00007.1.el8eap.noarch.rpm
O servidor de migração do java-jboss-server-wildfly9.0-to-eap7.2-1.3.1-7.Final_redhat_00007.1.el8eap.noarch.rpm
eap7-jboss-xnio-base-3.7.6-3.SP2_redhat_00001.1.el8eap.noarch.rpm
eap7-netty-4.1.42-1.Final_redhat_00001.1.el8eap.noarch.rpm
Ep7-netty-all-4.1.42-1.Final_redhat_00001.1.el8eap.noarch.rpm
eap7-picketlink-bindings-2.5.5-21.SP12_redhat_00010.1.el8eap.noarch.rpm
eap7-picketlink-wildfly8-2.5.5-21.SP12_redhat_00010.1.el8eap.noarch.rpm
eap7-undertow-2.0.28-2.SP1_redhat_00001.1.el8eap.noarch.rpm
Agora, você pode usar o seguinte código:
eap7-weld-core-3.0.6-3.Final_redhat_00003.1.el8eap.noarch.rpm
O arquivo eap7-weld-core-impl-3.0.6-3.Final_redhat_00003.1.el8eap.noarch.rpm
Agora, você pode usar o seguinte código: jpf-core-jsf-3.0.6-3.Final_redhat_00003.1.el8eap.
O que é um arquivo Epb-EJB-3.0.6-3.Final_redhat_00003.1.el8eap.noarch.rpm
Como instalar o java-jta-jta-3.0.6-3 no Ubuntu e derivados
EFA7-weld-probe-core-3.0.6-3.Final_redhat_00003.1.el8eap.noarch.rpm
eap7-weld-web-3.0.6-3.Final_redhat_00003.1.el8eap.noarch.rpm
eap7-wildfly-7.2.6-5.GA_redhat_00001.1.el8eap.noarch.rpm
EAP7-wildfly-http-client-common-1.0.18-2.Final_redhat_00001.1.el8eap.noarch.rpm
Epb-wildfly-http-ejb-client-1.0.18-2.Final_redhat_00001.1.el8eap.noarch.rpm
EAP7-wildfly-http-naming-client-1.0.18-2.Final_redhat_00001.1.el8eap.noarch.rpm
EAP7-wildfly-http-transaction-client-1.0.18-2.Final_redhat_00001.1.el8eap.noarch.rpm
eap7-wildfly-javadocs-7.2.6-5.GA_redhat_00001.1.el8eap.noarch.rpm
eap7-wildfly-modules-7.2.6-5.GA_redhat_00001.1.el8eap.noarch.rpm
eap7-wildfly-transaction-client-1.1.8-1.Final_redhat_00001.1.el8eap.noarch.rpm

Esses pacotes são GPG assinados pela Red Hat por segurança. Nossa chave e
detalhes sobre como verificar a assinatura estão disponíveis em
https://access.redhat.com/security/team/key/

8. Referências:

https://access.redhat.com/security/cve/CVE-2019-10219
https://access.redhat.com/security/cve/CVE-2019-14540
https://access.redhat.com/security/cve/CVE-2019-14885
https://access.redhat.com/security/cve/CVE-2019-14888
https://access.redhat.com/security/cve/CVE-2019-14892
https://access.redhat.com/security/cve/CVE-2019-14893
https://access.redhat.com/security/cve/CVE-2019-16335
https://access.redhat.com/security/cve/CVE-2019-16869
https://access.redhat.com/security/cve/CVE-2019-16942
https://access.redhat.com/security/cve/CVE-2019-16943
https://access.redhat.com/security/cve/CVE-2019-17267
https://access.redhat.com/security/cve/CVE-2019-17531
https://access.redhat.com/security/updates/classification/#important

9. Contato:

O contato de segurança da Red Hat é . Mais contato
detalhes em https://access.redhat.com/security/team/contact/

Direitos autorais 2020 Red Hat, Inc.
----- INICIAR ASSINATURA PGP -----
Versão: GnuPG v1

iQIVAwUBXiZu2NzjgjWX9erEAQi7BxAAp7bC8CH0GhWFAnPH4 + MjEqH6YiFFGy2K
UbJkb1eSgu6EmddJuS2eR5UycsEgxSwhkz0qxHY / rxfefMF8CByf3WfnrPzoGumc
4J + s4I + PpbS5rF / NTvIPnAID4evNxXjBWR / UppHNCZNT9C7A + QhGfEHfHzRJWZkM
G2ZS6aEsuoqfCEJOvT1Xzk4hGsXJv63 / UvYJvGFg8jNBASfsEkCtbYqnaQLki0qL
AlzJ0IeKUvlruGbBa5tjkc0jNmvWLwpj8f + hfn47cRs7asrySWtcwNwHEcp4Y23c
iSIHF / WjIUaRCozZuScBkCU8JZGJJ2Gxd46MMQOejCO5 / NdQVFdwmZpu1Kt9GhNf
C0kH3TUd9m7IovVnffzYNtzJa1vpDrktja ++ H7RnzgVe645HZ26rnF01Uq1rHY6l
IK8Uc7REFZUTetxh3lfluFbU5lMsTnrNpNcfdJ2H1HK / t7dOGzs42IWGIRwXM / uN
TvhlF3bQfN7BwIrP4HJVFs8atAkgYzTJUWRXbVxrqQzs13KgjsLEF3DbE4ydxg8M
13EyUwmJ1nxuPW2rDzJ7tgJ / Sd6F + 7y2c6aG9O / 7rdCfkXYvBWkLsQutT05lWuzm
GMqK76sHwzmd4ChDVod / TkHpYdoScBvviMmjG / xXeoS29tHS7HutPVCa1ocX03bD
3ILWvCC + Pz8 =
= N6dr
----- TERMINAR ASSINATURA PGP -----

-
RHSA-anunciar lista de discussão
RHSA-announce@redhat.com
https://www.redhat.com/mailman/listinfo/rhsa-announce

Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário