terça-feira, 21 de janeiro de 2020
Atualização de nível importante da Red Hat para o Aplicativo JBoss Enterprise, aviso RHSA-2020-0160: 01
Confira !
Uma atualização está agora disponível para o Red Hat JBoss Enterprise Application Platform 7.2 para Red Hat Enterprise Linux 7. A Red Hat Product Security classificou esta atualização como tendo um impacto na segurança de Importante. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS),
----- COMECE A MENSAGEM ASSINADA PGP -----
Hash: SHA256
==================================================== ===================
Aviso de Segurança da Red Hat
Sinopse: Importante: Red Hat JBoss Enterprise Application Platform 7.2.6 na atualização de segurança do RHEL 7
ID do comunicado: RHSA-2020: 0160-01
Produto: Red Hat JBoss Enterprise Application Platform
URL do comunicado: https://access.redhat.com/errata/RHSA-2020:0160
Data de emissão: 2020-01-20
Nomes do CVE: CVE-2019-10219 CVE-2019-14540 CVE-2019-14885
CVE-2019-14888 CVE-2019-14892 CVE-2019-14893
CVE-2019-16335 CVE-2019-16869 CVE-2019-16942
CVE-2019-16943 CVE-2019-17267 CVE-2019-17531
==================================================== ===================
1. Resumo:
Uma atualização está agora disponível para o Red Hat JBoss Enterprise Application
Plataforma 7.2 para Red Hat Enterprise Linux 7.
A Red Hat Product Security avaliou esta atualização como tendo um impacto na segurança
de Importante. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS),
que fornece uma classificação de gravidade detalhada, está disponível para cada vulnerabilidade
no link CVE na seção References.
2. Versões / arquiteturas relevantes:
Red Hat JBoss EAP 7.2 para RHEL 7 Server - noarch
3. Descrição:
O Red Hat JBoss Enterprise Application Platform 7 é uma plataforma para Java
aplicativos baseados no tempo de execução do aplicativo WildFly.
Esta versão do Red Hat JBoss Enterprise Application Platform 7.2.6 serve
como um substituto para o Red Hat JBoss Enterprise Application Platform 7.2.5,
e inclui correções e aprimoramentos. Veja o Red Hat JBoss Enterprise
Notas da Versão do Application Platform 7.2.6 para obter informações sobre os
correções significativas de bugs e aprimoramentos incluídos nesta versão.
Correção (s) de segurança:
undertow: possível negação de serviço (DOS) no servidor HTTP undertow
ouvindo
em HTTPS (CVE-2019-14888)
* jboss-cli: O valor do atributo de segurança da propriedade do sistema JBoss EAP: Vault é
revelado no comando 'reload' da CLI (CVE-2019-14885)
* netty: contrabando de solicitação HTTP por espaço em branco mal tratado antes dos dois pontos
dentro
Cabeçalhos HTTP (CVE-2019-16869)
* jackson-databind: problema de digitação polimórfica relacionado a
com.zaxxer.hikari.HikariConfig (CVE-2019-14540)
* jackson-databind: gadgets de serialização nas classes do commons-dbcp
pacote
(CVE-2019-16942)
* jackson-databind: gadgets de serialização em classes do
pacote de configuração do commons (CVE-2019-14892)
* jackson-databind: problema de digitação polimórfica relacionado a
com.zaxxer.hikari.HikariDataSource (CVE-2019-16335)
* jackson-databind: Gadgets de serialização nas classes do pacote p6spy
(CVE-2019-16943)
* jackson-databind: problema de digitação polimórfica ao ativar a digitação padrão
para um
terminal JSON exposto externamente e com apache-log4j-extra no diretório
caminho de classe
leva à execução do código (CVE-2019-17531)
* jackson-databind: Gadgets de serialização nas classes do pacote xalan
(CVE-2019-14893)
* hibernate-validator: o validator safeHTML permite XSS (CVE-2019-10219)
* jackson-databind: Gadgets de serialização nas classes do pacote ehcache
(CVE-2019-17267)
4. Solução:
Antes de aplicar esta atualização, faça backup do seu Red Hat JBoss Enterprise existente
Instalação da plataforma de aplicativos e aplicativos implementados.
Para detalhes sobre como aplicar esta atualização, que inclui as alterações
descrito neste comunicado, consulte:
https://access.redhat.com/articles/11258
5. Bugs corrigidos (https://bugzilla.redhat.com/):
1738673 - validador de hibernação CVE-2019-10219: validator safeHTML permite XSS
1755831 - CVE-2019-16335 jackson-databind: problema de digitação polimórfica relacionada a com.zaxxer.hikari.HikariDataSource
1755849 - CVE-2019-14540 jackson-databind: problema de digitação polimórfica relacionada a com.zaxxer.hikari.HikariConfig
1758167 - CVE-2019-17267 jackson-databind: Gadgets de serialização nas classes do pacote ehcache
1758171 - CVE-2019-14892 jackson-databind: Gadgets de serialização em classes do pacote de configuração do commons
1758182 - CVE-2019-14893 jackson-databind: Gadgets de serialização nas classes do pacote xalan
1758187 - CVE-2019-16942 jackson-databind: Gadgets de serialização em classes do pacote commons-dbcp
1758191 - CVE-2019-16943 jackson-databind: Gadgets de serialização nas classes do pacote p6spy
1758619 - CVE-2019-16869 netty: contrabando de solicitação HTTP por espaço em branco mal tratado antes da vírgula nos cabeçalhos HTTP
1770615 - CVE-2019-14885 JBoss EAP: o valor do atributo de segurança da propriedade do sistema Vault é revelado no comando 'reload' da CLI
1772464 - undertow CVE-2019-14888: possível Negação de serviço (DOS) no servidor HTTP undertow ouvindo em HTTPS
1775293 - CVE-2019-17531 jackson-databind: problema de digitação polimórfica ao ativar a digitação padrão para um terminal JSON exposto externamente e ter apache-log4j-extra no caminho de classe leva à execução do código
6. Problemas do JIRA corrigidos (https://issues.jboss.org/):
JBEAP-17491 - [GSS] (7.2.z) Atualize a solda de 3.0.6.Final-redhat-00002 para 3.0.6.Final-redhat-00003
JBEAP-17541 - (7.2.z) Atualize o jastow de 2.0.7.Final-redhat-00001 para 2.0.8.
JBEAP-17651 - [GSS] (7.2.z) Atualize o Apache CXF de 3.2.10.redhat-00001 para 3.2.11.redhat-00001
JBEAP-17652 - [GSS] (7.2.z) Atualize o ORM do Hibernate de 5.3.13 para 5.3.14
JBEAP-17666 - [GSS] (7.2.z) Atualize o jboss-ejb-client de 4.0.23.Final-redhat-00001 para 4.0.27.Final
JBEAP-17773 - [GSS] (7.2.z) Upgrade Undertow de 2.0.26.SP3-redhat-00001 para 2.0.28.SP1
JBEAP-17779 - (7.2.z) Atualize o Hibernate Validator de 6.0.16 para 6.0.18
JBEAP-17789 - [GSS] (7.2.z) Atualize XNIO de 3.7.6.SP1 para 3.7.6.SP2
JBEAP-17805 - [GSS] (7.2.z) Atualize o HAL de 3.0.17 para 3.0.19.
JBEAP-17835 - Bug do rastreador para a liberação EAP 7.2.6 para RHEL-7
JBEAP-17837 - (7.2.z) Atualize as ligações PicketLink de 2.5.5.SP12-redhat-00009 para 2.5.5.SP12-redhat-00010
JBEAP-17887 - [GSS] (7.2.z) Atualize o wildfly-http-client de 1.0.17 para 1.0.18
JBEAP-17898 - (7.2.z) Atualize o PicketLink nas ligações de PicketLink de 2.5.5.SP12-redhat-00006 para 2.5.5.SP12-redhat-00009
JBEAP-17905 - (7.2.z) Undertow de atualização nas ligações PicketLink de 2.0.3.Final para 2.0.26.Final
JBEAP-17906 - [GSS] (7.2.z) Atualize o JSF com base no Mojarra 2.3.5.SP3-redhat-00003 para 2.3.5.SP3-redhat-00004
JBEAP-17940 - (7.2.z) Atualize o wildfly-transaction-client de 1.1.6.Final-redhat-00001 para 1.1.8.Final-redhat-00001
JBEAP-17945 - [GSS] (7.2.z) Atualize o jberet de 1.3.2.Final-redhat-00001 para 1.3.5.Final-redhat-00001
O JBAP-17974 - (7.2.z) atualiza o Netty de 4.1.34.Final-redhat-00002 para 4.1.42.Final-redhat-00001
JBEAP-17998 - [GSS] (7.2.z) Atualize a API do JBoss JSF de 2.3.5.SP1 para 2.3.5.SP2
JBEAP-18169 - [GSS] (7.2.z) Atualize o FasterXML jackson-databind de 2.9.10 para 2.9.10.1
JBEAP-18170 - [GSS] (7.2.z) Atualize o FasterXML Jackson de 2.9.9 para 2.9.10
7. Lista de Pacotes:
Red Hat JBoss EAP 7.2 para RHEL 7 Server:
Fonte:
eap7-apache-cxf-3.2.11-1.redhat_00001.1.el7eap.src.rpm
eap7-glassfish-jsf-2.3.5-6.SP3_redhat_00004.1.el7eap.src.rpm
eap7-hal-console-3.0.19-1.Final_redhat_00001.1.el7eap.src.rpm
eap7-hibernate-5.3.14-1.Final_redhat_00001.1.el7eap.src.rpm
EAP7-hibernate-validator-6.0.18-1.Final_redhat_00001.1.el7eap.src.rpm
eap7-jackson-annotations-2.9.10-1.redhat_00003.1.el7eap.src.rpm
eap7-jackson-core-2.9.10-1.redhat_00003.1.el7eap.src.rpm
eap7-jackson-databind-2.9.10.1-1.redhat_00001.1.el7eap.src.rpm
eap7-jackson-dataformats-binary-2.9.10-1.redhat_00003.1.el7eap.src.rpm
eap7-jackson-dataformats-text-2.9.10-1.redhat_00003.1.el7eap.src.rpm
eap7-jackson-jaxrs-provider-2.9.10-1.redhat_00003.1.el7eap.src.rpm
eap7-jackson-modules-base-2.9.10-2.redhat_00003.1.el7eap.src.rpm
eap7-jackson-modules-java8-2.9.10-1.redhat_00003.1.el7eap.src.rpm
Ep7-jberet-1.3.5-1.Final_redhat_00001.1.el7eap.src.rpm
Ep7-jboss-ejb-client-4.0.27-1.Final_redhat_00001.1.el7eap.src.rpm
eap7-jboss-jsf-api_2.3_spec-2.3.5-3.SP2_redhat_00001.1.el7eap.src.rpm
O arquivo eap7-jboss-server-migration-1.3.1-7.Final_redhat_00007.1.el7eap.src.rpm
eap7-jboss-xnio-base-3.7.6-3.SP2_redhat_00001.1.el7eap.src.rpm
Ep7-netty-4.1.42-1.Final_redhat_00001.1.el7eap.src.rpm
eap7-picketlink-bindings-2.5.5-21.SP12_redhat_00010.1.el7eap.src.rpm
eap7-undertow-2.0.28-2.SP1_redhat_00001.1.el7eap.src.rpm
Agora, você pode usar o seguinte código:
eap7-weld-core-3.0.6-3.Final_redhat_00003.1.el7eap.src.rpm
eap7-wildfly-7.2.6-5.GA_redhat_00001.1.el7eap.src.rpm
EAP7-wildfly-http-client-1.0.18-2.Final_redhat_00001.1.el7eap.src.rpm
EAP7-wildfly-transaction-client-1.1.8-1.Final_redhat_00001.1.el7eap.src.rpm
noarch:
eap7-apache-cxf-3.2.11-1.redhat_00001.1.el7eap.noarch.rpm
eap7-apache-cxf-rt-3.2.11-1.redhat_00001.1.el7eap.noarch.rpm
eap7-apache-cxf-services-3.2.11-1.redhat_00001.1.el7eap.noarch.rpm
eap7-apache-cxf-tools-3.2.11-1.redhat_00001.1.el7eap.noarch.rpm
eap7-glassfish-jsf-2.3.5-6.SP3_redhat_00004.1.el7eap.noarch.rpm
eap7-hal-console-3.0.19-1.Final_redhat_00001.1.el7eap.noarch.rpm
eap7-hibernate-5.3.14-1.Final_redhat_00001.1.el7eap.noarch.rpm
O arquivo eap7-hibernate-core-5.3.14-1.Final_redhat_00001.1.el7eap.noarch.rpm
eap7-hibernate-entitymanager-5.3.14-1.Final_redhat_00001.1.el7eap.noarch.rpm
O arquivo eap7-hibernate-envers-5.3.14-1.Final_redhat_00001.1.el7eap.noarch.rpm
O arquivo eap7-hibernate-java8-5.3.14-1.Final_redhat_00001.1.el7eap.noarch.rpm
EAP7-hibernate-validator-6.0.18-1.Final_redhat_00001.1.el7eap.noarch.rpm
O arquivo eap7-hibernate-validator-cdi-6.0.18-1.Final_redhat_00001.1.el7eap.noarch.rpm
eap7-jackson-annotations-2.9.10-1.redhat_00003.1.el7eap.noarch.rpm
eap7-jackson-core-2.9.10-1.redhat_00003.1.el7eap.noarch.rpm
eap7-jackson-databind-2.9.10.1-1.redhat_00001.1.el7eap.noarch.rpm
eap7-jackson-dataformats-binary-2.9.10-1.redhat_00003.1.el7eap.noarch.rpm
eap7-jackson-dataformats-text-2.9.10-1.redhat_00003.1.el7eap.noarch.rpm
eap7-jackson-datatype-jdk8-2.9.10-1.redhat_00003.1.el7eap.noarch.rpm
eap7-jackson-datatype-jsr310-2.9.10-1.redhat_00003.1.el7eap.noarch.rpm
eap7-jackson-jaxrs-base-2.9.10-1.redhat_00003.1.el7eap.noarch.rpm
eap7-jackson-jaxrs-json-provider-2.9.10-1.redhat_00003.1.el7eap.noarch.rpm
eap7-jackson-module-jaxb-annotations-2.9.10-2.redhat_00003.1.el7eap.noarch.rpm
eap7-jackson-modules-base-2.9.10-2.redhat_00003.1.el7eap.noarch.rpm
eap7-jackson-modules-java8-2.9.10-1.redhat_00003.1.el7eap.noarch.rpm
Ep7-jberet-1.3.5-1.Final_redhat_00001.1.el7eap.noarch.rpm
Ep7-jberet-core-1.3.5-1.Final_redhat_00001.1.el7eap.noarch.rpm
Ep7-jboss-ejb-client-4.0.27-1.Final_redhat_00001.1.el7eap.noarch.rpm
eap7-jboss-jsf-api_2.3_spec-2.3.5-3.SP2_redhat_00001.1.el7eap.noarch.rpm
O arquivo eap7-jboss-server-migration-1.3.1-7.Final_redhat_00007.1.el7eap.noarch.rpm
O arquivo eap7-jboss-server-migration-cli-1.3.1-7.Final_redhat_00007.1.el7eap.noarch.rpm
O arquivo eap7-jboss-server-migration-core-1.3.1-7.Final_redhat_00007.1.el7eap.noarch.rpm
O arquivo eap7-jboss-server-migration-eap6.4-1.3.1-7.Final_redhat_00007.1.el7eap.noarch.rpm
O servidor de migração do servidor de arquivos de configuração do servidor é o seguinte:
O arquivo eap7-jboss-server-migration-eap7.0-1.3.1-7.Final_redhat_00007.1.el7eap.noarch.rpm
O servidor de migração do servidor java-java-java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java foi criado.
O arquivo eap7-jboss-server-migration-eap7.1-1.3.1-7.Final_redhat_00007.1.el7eap.noarch.rpm
O servidor de migração do servidor java-java-java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java / java foi criado por
O arquivo eap7-jboss-server-migration-eap7.2-1.3.1-7.Final_redhat_00007.1.el7eap.noarch.rpm
O arquivo eap7-jboss-server-migration-wildfly10.0-1.3.1-7.Final_redhat_00007.1.el7eap.noarch.rpm
O servidor de migração do java-jboss-server-wildfly10.0-to-eap7.2-1.3.1-7.Final_redhat_00007.1.el7eap.noarch.rpm
O arquivo eap7-jboss-server-migration-wildfly10.1-1.3.1-7.Final_redhat_00007.1.el7eap.noarch.rpm
O servidor de migração do java-jboss-server-wildfly10.1-to-eap7.2-1.3.1-7.Final_redhat_00007.1.el7eap.noarch.rpm
Ep7-jboss-server-migration-wildfly11.0-1.3.1-7.Final_redhat_00007.1.el7eap.noarch.rpm
O servidor de migração do java-java-java-java-java-java-java-java-java-java-java-java-java-java-java-java
O arquivo eap7-jboss-server-migration-wildfly12.0-1.3.1-7.Final_redhat_00007.1.el7eap.noarch.rpm
O servidor de migração do java-jboss-server-wildfly12.0-to-eap7.2-1.3.1-7.Final_redhat_00007.1.el7eap.noarch.rpm
O arquivo eap7-jboss-server-migration-wildfly13.0-server-1.3.1-7.Final_redhat_00007.1.el7eap.noarch.rpm
O servidor eap7-jboss-server-migration-wildfly14.0-server-1.3.1-7.Final_redhat_00007.1.el7eap.noarch.rpm
Ep7-jboss-server-migration-wildfly8.2-1.3.1-7.Final_redhat_00007.1.el7eap.noarch.rpm
O servidor de migração ep7-jboss-server-wildfly8.2-to-eap7.2-1.3.1-7.Final_redhat_00007.1.el7eap.noarch.rpm
O arquivo eap7-jboss-server-migration-wildfly9.0-1.3.1-7.Final_redhat_00007.1.el7eap.noarch.rpm
O servidor de migração do java-jboss-server-wildfly9.0-to-eap7.2-1.3.1-7.Final_redhat_00007.1.el7eap.noarch.rpm
eap7-jboss-xnio-base-3.7.6-3.SP2_redhat_00001.1.el7eap.noarch.rpm
Ea77-netty-4.1.42-1.Final_redhat_00001.1.el7eap.noarch.rpm
Ep7-netty-all-4.1.42-1.Final_redhat_00001.1.el7eap.noarch.rpm
eap7-picketlink-bindings-2.5.5-21.SP12_redhat_00010.1.el7eap.noarch.rpm
eap7-picketlink-wildfly8-2.5.5-21.SP12_redhat_00010.1.el7eap.noarch.rpm
eap7-undertow-2.0.28-2.SP1_redhat_00001.1.el7eap.noarch.rpm
Agora, você pode usar o seguinte código:
eap7-weld-core-3.0.6-3.Final_redhat_00003.1.el7eap.noarch.rpm
O arquivo eap7-weld-core-impl-3.0.6-3.Final_redhat_00003.1.el7eap.noarch.rpm
Agora, você pode usar o seguinte código: jpf-core-jsf-3.0.6-3.Final_redhat_00003.1.el7eap.noarch.rpm
Como instalar o Epb-EJB-3.0.6-3 no Ubuntu, Linux Mint e derivados
Como instalar o EAP7-weld-jta-3.0.6-3 no Windows 10
EFA7-weld-probe-core-3.0.6-3.Final_redhat_00003.1.el7eap.noarch.rpm
eap7-weld-web-3.0.6-3.Final_redhat_00003.1.el7eap.noarch.rpm
eap7-wildfly-7.2.6-5.GA_redhat_00001.1.el7eap.noarch.rpm
EAP7-wildfly-http-client-common-1.0.18-2.Final_redhat_00001.1.el7eap.noarch.rpm
Epb-wildfly-http-ejb-client-1.0.18-2.Final_redhat_00001.1.el7eap.noarch.rpm
EAP7-wildfly-http-naming-client-1.0.18-2.Final_redhat_00001.1.el7eap.noarch.rpm
EAP7-wildfly-http-transaction-client-1.0.18-2.Final_redhat_00001.1.el7eap.noarch.rpm
eap7-wildfly-java-jdk11-7.2.6-5.GA_redhat_00001.1.el7eap.noarch.rpm
eap7-wildfly-java-jdk8-7.2.6-5.GA_redhat_00001.1.el7eap.noarch.rpm
eap7-wildfly-javadocs-7.2.6-5.GA_redhat_00001.1.el7eap.noarch.rpm
eap7-wildfly-modules-7.2.6-5.GA_redhat_00001.1.el7eap.noarch.rpm
eap7-wildfly-transaction-client-1.1.8-1.Final_redhat_00001.1.el7eap.noarch.rpm
Esses pacotes são GPG assinados pela Red Hat por segurança. Nossa chave e
detalhes sobre como verificar a assinatura estão disponíveis em
https://access.redhat.com/security/team/key/
8. Referências:
https://access.redhat.com/security/cve/CVE-2019-10219
https://access.redhat.com/security/cve/CVE-2019-14540
https://access.redhat.com/security/cve/CVE-2019-14885
https://access.redhat.com/security/cve/CVE-2019-14888
https://access.redhat.com/security/cve/CVE-2019-14892
https://access.redhat.com/security/cve/CVE-2019-14893
https://access.redhat.com/security/cve/CVE-2019-16335
https://access.redhat.com/security/cve/CVE-2019-16869
https://access.redhat.com/security/cve/CVE-2019-16942
https://access.redhat.com/security/cve/CVE-2019-16943
https://access.redhat.com/security/cve/CVE-2019-17267
https://access.redhat.com/security/cve/CVE-2019-17531
https://access.redhat.com/security/updates/classification/#important
https://access.redhat.com/documentation/en-us/red_hat_jboss_enterprise_application_platform/7.2/
https://access.redhat.com/documentation/en-us/red_hat_jboss_enterprise_application_platform/7.2/html-single/installation_guide/
9. Contato:
O contato de segurança da Red Hat é . Mais contato
detalhes em https://access.redhat.com/security/team/contact/
Direitos autorais 2020 Red Hat, Inc.
----- INICIAR ASSINATURA PGP -----
Versão: GnuPG v1
iQIVAwUBXiZ0d9zjgjWX9erEAQjQ7xAAhe0jr202ALlEi8Iz + ZDKrLgxyIxQEFph
X37nOn4K8bNcU / 4E83ioabVKdY4NY8htUYRQOXOf3oxpMDFXoZqdbrbBOMptz45p
xdV3ZxkiqQmRTP27ZbC452ywwYRcRwwVhWF4xPzfaaubeaKENH9IUlAkuDgVr6uf
BKxfXyEjWcOVzoV2tjseNTtawphbanaktZtTgY1mwweEIYtPhnDmZj6UrGYUAqdE
4xbnI8E7s5HDOeV5l + Vwl + / 5IhqolxB7IKfY7jJX6vUqBDSIC8cyb56CgAJmYkfq
miLPiBKOlvSatnANK9NVkqjbM1RyT4gs99deGCnEqPVj9ShQE33Hn0nqhsiALtg4
LXAgho0kyYnfxJBr + Y9Os8T4h4mvtrDF5gPBfR4KiR02pVk9cvIA2SDPi7E9ui8F
XN / kxZFLkkCq0poTYR6N + hK8rP08egcqos1CQ6gyvVDOviCv2Bwdn7hx // QewEIr
PypW6lV8zO8flH / fTBrA74zQqTv10MZLydOV2fBj / El4v2kxLTAdebJdhcS6YzlQ
AUVC5gufPB8WTSZFix1cZesoAtDblb4oFLye1ku2uXAyNokW2g4hNGzWtJhMSR2L
iaBJg2ra / oBnD / g0OCjHB2RBV2vROrAq5I + JW2JN9aaBrM4X / YmZlAZbr5pek + 7O
g6zG2 / OXaQc =
= vwn0
----- TERMINAR ASSINATURA PGP -----
-
RHSA-anunciar lista de discussão
RHSA-announce@redhat.com
https://www.redhat.com/mailman/listinfo/rhsa-announce
Fonte
Até a próxima !!
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário