1. 摘要
适用于Red Hat JBoss Enterprise Application Platform 6.4的一个更新已发布。Red Hat Product Security将此次更新定级为有“重要”安全影响。“参考”一节的CVE链接给出了每个漏洞的CVSS基本分数,描述其具体严重程度。
2. 描述:
红帽JBoss企业应用平台是基于JBoss Application Server的Java应用程序平台。
红帽JBoss企业应用平台6.4.23可替代红帽JBoss企业应用平台6.4.22,并进行了bug修复和功能提升。相关信息记录在更新说明中,链接已放在“参考”章节。
安全修复:
关于这些安全问题的更多详细信息,包括影响、CVSS分数、和其他信息,请参见“参考”一节中的CVE链接。
建议Red Hat Enterprise Linux 5上的所有使用红帽JBoss企业应用平台6.4用户安装这些软件包。
3. 解决方案:
在应用此更新之前,请备份目前安装的红帽JBoss企业应用平台和已部署的应用程序。“参考”一节包含下载链接(需登陆后才能下载)。
要使该更新生效,您必须重启JBoss服务器进程。
4. 已修复bug(https://bugzilla.redhat.com/):
1700855 - [GSS](6.4.z)将HornetQ从2.3.25.SP29升级至2.3.25.SP31
1708467 - [GSS](6.4.z)将Remoting JMX从1.1.3升级至1.1.4
1770615 - CVE-2019-14885 JBoss EAP:Vault系统属性安全属性值暴露在CLI“reload”命令中
1772542 - [GSS](6.4.z)将Mojarra从1.2.15.b01-SP2升级至1.2.15.b01-SP2-redhat-2
1806398 - CVE-2020-1938 tomcat:Apache Tomcat AJP文件读取/包含漏洞
1816579 - [GSS](6.4.z) 将IronJacamar从1.0.43.Final-redhat-1升级至1.0.44.Final-redhat-1
1816629 - [GSS](6.4.z)将Weld从1.1.34升级至1.1.34.Final-redhat-2
1819214 - (6.4.z)将JBOSGI Core Repository从2.1.0.Final-redhat-2升级至2.1.0.Final-redhat-3
5. 参考:
https://access.redhat.com/security/cve/CVE-2019-14885
https://access.redhat.com/security/cve/CVE-2020-1938
https://access.redhat.com/security/updates/classification/#important
https://access.redhat.com/documentation/en-US/JBoss_Enterprise_Application_Platform/6.4/index.html
https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=appplatform&downloadType=securityPatches&version=6.4
信息化办公室
2020年8月25日
