JVNDB-2016-003407

JGroups におけるセキュリティ制限を回避される脆弱性

JGroups は、クラスタに参加しているノードから ENCRYPT および AUTH プロトコルに適切なヘッダを要求しないため、セキュリティ制限を回避され、クラスタ内でメッセージを送受信される脆弱性が存在します。

レッドハット

• JBoss Enterprise Application Platform 5 EL4
• JBoss Enterprise Application Platform 5 EL5
• JBoss Enterprise Application Platform 5 EL6
• JBoss Enterprise Application Platform 6 EL5
• JBoss Enterprise Application Platform 6 EL6
• JBoss Enterprise Application Platform 7

レッドハット (JGroups)

• JGroups 4.0 未満

第三者により、セキュリティ制限を回避され、クラスタ内でメッセージを送受信される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

レッドハット

• Red Hat Security Advisory : RHSA-2016:1328
• Red Hat Security Advisory : RHSA-2016:1329
• Red Hat Security Advisory : RHSA-2016:1330
• Red Hat Security Advisory : RHSA-2016:1331
• Red Hat Security Advisory : RHSA-2016:1332
• Red Hat Security Advisory : RHSA-2016:1333
• Red Hat Security Advisory : RHSA-2016:1334
• Red Hat Security Advisory : RHSA-2016:1345
• Red Hat Security Advisory : RHSA-2016:1346
• Red Hat Security Advisory : RHSA-2016:1347
• Red Hat Security Advisory : RHSA-2016:1374
• Red Hat Security Advisory : RHSA-2016:1389
• Red Hat Security Advisory : RHSA-2016:1433
• Red Hat Security Advisory : RHSA-2016:1434
• Red Hat Security Advisory : RHSA-2016:1435

レッドハット (JGroups)

• JBossDeveloper : [JGRP-2021] ENCRYPT: prevent messages from non-members

1. 情報不足(CWE-noinfo) [NVD評価]

1. CVE-2016-2141

1. National Vulnerability Database (NVD) : CVE-2016-2141

• [2016年07月06日]
    掲載
  [2016年08月29日]
    ベンダ情報：レッドハット (RHSA-2016:1435) を追加 
    ベンダ情報：レッドハット (RHSA-2016:1345) を追加
    ベンダ情報：レッドハット (RHSA-2016:1346) を追加
    ベンダ情報：レッドハット (RHSA-2016:1347) を追加 
    ベンダ情報：レッドハット (RHSA-2016:1374) を追加
    ベンダ情報：レッドハット (RHSA-2016:1389) を追加
    ベンダ情報：レッドハット (RHSA-2016:1433) を追加 
    ベンダ情報：レッドハット (RHSA-2016:1434) を追加