リモートの Redhat Enterprise Linux 6ホストにインストールされているパッケージは、RHSA-2020: 0804アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - thrift: 特定の入力データでフィードする際の無限ループ（CVE-2019-0205）

  - thrift: TJSONProtocolまたはTSimpleJSONProtocolに関連する領域外読み取り（CVE-2019-0210）

  - apache-commons-beanutils: デフォルトでPropertyUtilsBean内のクラスプロパティを抑制しない（CVE-2019-10086）

  - xml-security：Apache Santuarioが信頼できないソースからXML構文解析コードをロードする可能性（CVE-2019-12400）

  - wildfly：OpenSSLセキュリティプロバイダーが使用中の場合、レガシーセキュリティの「enabled-protocols」の値が考慮されない（CVE-2019-14887）

  -netty：HTTPリクエストスマグリング（CVE-2019-20444）

  -netty：HttpObjectDecoder.javaは、Content-Lengthヘッダーに2つ目のContent-Lengthヘッダーが伴うことを許可します（CVE-2019-20445）

  -netty：転送エンコード空白の不適切な処理によるHTTPリクエストのスマグリング（CVE-2020-7238）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

RHEL 6：RHEL 6上のRed Hat JBoss Enterprise Application Platform 7.2.7 （RHSA-2020: 0804)

critical Nessus プラグイン ID 134612

バージョン 1.8