リモートのRedhat Enterprise Linux 7ホストにインストールされているパッケージは、RHSA-2019: 3172のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  -python-werkzeug：debug/tbtools.pyのrender_full関数におけるクロスサイトスクリプティング（CVE-2016-10516）

  - python-jinja2：str.formatを介した情報漏えいによるサンドボックスエスケープ（CVE-2016-10745）

  - dom4j：Class:ElementにおけるXMLインジェクション。XMLドキュメントの整合性に影響する可能性のあるMethods:addElementとaddAttribute（CVE-2018-1000632）

  - rubygem-rack：マルチパートパーサーのバッファサイズにより、サービス拒否を引き起こす可能性がある（CVE-2018-16470）

  - foreman: 情報漏洩を引き起こすforemanタスクの認可バイパス（CVE-2019-10198）

  - python-jinja2：str.format_mapによりサンドボックスエスケープが可能になります（CVE-2019-10906）

  - python-twisted: URIメソッドとHTTPメソッドにおけるCRLF文字の不適切な中立化（CVE-2019-12387）

  - katello：リポジトリ検出中に、レジストリ認証情報が平文でキャプチャされる（CVE-2019-14825）

  - foreman: 計算リソースの平文パスワードまたはトークンの復元（CVE-2019-3893）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

RHEL 7：Red Hat Satellite 6（RHSA-2019: 3172）

high Nessus プラグイン ID 130187

バージョン 1.12