リモート Redhat Enterprise Linux 8 ホストに、RHSA-2022:4919 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  - jackson-databind: 深くネスト化されたオブジェクトによるサービス拒否 (CVE-2020-36518)

  - netty-codec: Bzip2Decoder では、展開されたデータのサイズ制限を設定できません (CVE-2021-37136)

  - netty-codec: SnappyFrameDecoder はチャンク長を制限せず、スキップ可能なチャンクを不必要な方法でバッファリングする可能性があります (CVE-2021-37137)

  - h2: コンソールでのリモートコード実行 (CVE-2021-42392)

  - netty: ヘッダー名の制御文字により、HTTP リクエストスマグリングが発生する可能性があります (CVE-2021-43797)

  - xnio: stderr の代わりにデバッグする org.xnio.StreamConnection.notifyReadClosed のログ (CVE-2022-0084)

  - jboss-client: リモートクライアントトランザクションでのメモリ漏洩 (CVE-2022-0853)

  - wildfly: EJB セッションコンテキストの Wildfly 管理が、Elytron セキュリティを有効にした状態で間違った呼び出し元を返します (CVE-2022-0866)

  - undertow: EAP 7 からの 400 に対する二重 AJP 応答により、CPING エラーが発生します (CVE-2022-1319)

  - OpenJDK: XMLEntityScanner の改行の不適切な処理に関連する無限ループ (JAXP、8270646) (CVE-2022-21299)

  - mysql-connector-java: 悪用が難しい脆弱性ですが、権限が高い攻撃者が複数のプロトコルを使用してネットワークにアクセスし、MySQL Connectors を侵害する可能性があります (CVE-2022-21363)

  - h2: JNDI を介したリモートサーバーからのカスタムクラスのロード (CVE-2022-23221)

  - xerces-j2: 特別に細工された XML ドキュメントペイロードを処理する際の無限ループ (CVE-2022-23437)

  - artemis-commons: Apache ActiveMQ Artemis DoS (CVE-2022-23913)

  - Moment.js: moment.locale のパストラバーサル (CVE-2022-24785)

Nessus はこれらの問題をテストしておらず、代わりにアプリケー代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

RHEL 8 : RHEL 8 上の Red Hat JBoss Enterprise Application Platform 7.4.5 のセキュリティ更新プログラム (重要度中) (RHSA-2022:4919)

critical Nessus プラグイン ID 161910

バージョン 1.9