リモート Redhat Enterprise Linux 7 / 8 ホストに、RHSA-2023:7625 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  - openssl: X509 ポリシー制約の検証における過剰なリソース使用によるサービス拒否 (CVE-2023-0464)

  - openssl: リーフ証明書の無効な証明書ポリシーが警告なしで無視されます (CVE-2023-0465)

  - openssl: 証明書ポリシーチェックが有効になっていません (CVE-2023-0466)

  - openssl: ASN.1 オブジェクト識別子を変換する DoS の可能性 (CVE-2023-2650)

  - openssl: DH キーおよびパラメーターのチェックに過剰な時間がかかります (CVE-2023-3446)

  - OpenSSL: DH q パラメーター値のチェックに過剰な時間がかかります (CVE-2023-3817)

  - curl: ヘッダー数量の制限がないためのヒープメモリ不足の問題 (CVE-2023-38039)

  - curl: SOCKS5 プロキシハンドシェイクのヒープベースのバッファオーバーフロー (CVE-2023-38545)

  - curl: none ファイルによるクッキーインジェクション (CVE-2023-38546)

   httpd: Apache Tomcat Connectors (mod_jk) の情報漏洩 (CVE-2023-41081)

  - mod_http2: リセットリクエストがメモリを消費します (CVE-2023-44487 の不完全な修正) (CVE-2023-45802)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

RHEL 7 / 8 : Red Hat JBoss Core Services Apache HTTP Server 2.4.57 SP2 (RHSA-2023:7625)

critical Nessus プラグイン ID 186674

バージョン 1.3