リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 1242アドバイザリに記載されている脆弱性の影響を受けます。

  - mariadb：書き込み可能なシステム変数により、SUPER権限を持つデータベースユーザーがシステムmysqlユーザーとして任意のコードを実行できます（CVE-2021-27928）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの CentOS Linux 7 ホストには、RHSA-2021:1145 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

  - 3.7.2 より前のバージョンの Nettle に欠陥が見つかりました。いくつかの Nettle 署名認証関数 (GOST DSA、EDDSA＆ECDSA) により、楕円曲線暗号化ポイント (ECC) の乗算関数が範囲外のスケーラーで呼び出され、結果が不正確になる可能性があります。この欠陥により、攻撃者が無効な署名を強制し、アサーションの失敗または検証を引き起こす可能性があります。この脆弱性が最大の脅威となるのは、機密性と整合性、ならびにシステムの可用性です。（CVE-2021-20305）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 1206のアドバイザリで参照される脆弱性の影響を受けます。

  - nettle：署名認証における領域外メモリアクセス（CVE-2021-20305）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 1193のアドバイザリで参照される複数の脆弱性の影響を受けます。

  - Mozilla：攻撃者は、既存のキーをポイゾニングするThunderbirdのOpenPGPキーリフレッシュメカニズムを使用する可能性があります（CVE-2021-23991）

  - Mozilla：無効なユーザーIDを持つ細工されたOpenPGPキーが、ユーザーを混乱させるために使用される可能性があります（CVE-2021-23992）

  - Mozilla：細工されたのOpenPGPキーをインポートした後、暗号化されたOpenPGP電子メールを送信することができません（CVE-2021-23993）

  - Mozilla：Thunderbirdは別のOTRライブラリを実行する可能性があります（CVE-2021-29949）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 1197のアドバイザリで参照される脆弱性の影響を受けます。

  - samba：AD DC LDAPサーバーの領域外読み取り（CVE-2021-20277）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモート CentOS Linux 7 ホストに、RHSA-2021:0742 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

  - パッチ 4.8.0 までの GNU Screen の encoding.c により、リモートの攻撃者が、サービス拒否 (無効な書き込みアクセスおよびアプリケーションクラッシュ) を引き起こす、または UTF-8 文字シーケンスを介して、詳細不明の他の影響を与えることが可能です。(CVE-2021-26937) 

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの CentOS Linux 7 ホストには、RHSA-2021:1072 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

  - Samba の libldb に欠陥が見つかりました。LDAP 属性に複数の連続する先行スペースがあると、領域外メモリ書き込みが発生し、リクエストを処理する LDAP サーバープロセスがクラッシュする可能性があります。この脆弱性が最大の脅威となるのは、システムの可用性です。(CVE-2021-20277)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ頼っていることに注意してください。

リモートの CentOS Linux 7 ホストに、RHSA-2021:1071 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  - 5.11.3 までの Linux カーネルで問題が発見されました。カーネルポインターリークの漏洩により、iscsi_transport構造体のアドレスが判別されてしまいます。iSCSIトランスポートがiSCSIサブシステムに登録されている場合、/sys/class/iscsi_transport/$TRANSPORT_NAME/handleで、権限のないユーザーがsysfsファイルシステムを介してトランスポートの処理を利用できます。読み取りの場合は、show_transport_handle 関数 (drivers/scsi/scsi_transport_iscsi.c 内の) が呼び出され、処理が漏洩します。この処理は、実際にはカーネルモジュールのグローバル変数内のiscsi_transport構造体へのポインターとなっています。(CVE-2021-27363)

  -5.11.3までの Linux カーネルで問題が発見されました。drivers/scsi/scsi_transport_iscsi.cは、権限のないユーザーがNetlinkメッセージを作成する機能によって悪影響を受けます。(CVE-2021-27364)

  - 5.11.3までの Linux カーネルで問題が発見されました。特定のiSCSIデータ構造には、適切な長さの制約またはチェックがなく、PAGE_SIZE値を超える可能性があります。権限のないユーザーが、iSCSIに関連付けられ、Netlinkメッセージの最大長までの長さがあるNetlinkメッセージを送信することが可能です。(CVE-2021-27365)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 1086のアドバイザリに記載されている脆弱性の影響を受けます。

  - 389-ds-base: DNのバインディング中の情報漏洩（CVE-2020-35518）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージには、CESA-2021: 1093のアドバイザリに記載されている脆弱性の影響を受けます。

  - kernel：eventpoll.cのメモリ解放後使用（Use After Free）は、権限昇格につながる可能性があります（CVE-2020-0466）

  - Kernel：KVM: lazy更新IOAPICによるホストスタックオーバーフロー（CVE-2020-27152）

  - kernel：ILOバックストア上のブロックに対するSCSIターゲット（LIO）書き込み（CVE-2020-28374）

  - kernel：net/vmw_vsock/af_vsock.cの不適切なロックにより引き起こされる競合状態（CVE-2021-26708）

  - kernel：iscsi: セッションおよびハンドルへの無制限アクセス（CVE-2021-27363）

  - kernel：libiscsiモジュールの領域外読み取り（CVE-2021-27364）

  - kernel：iSCSIサブシステムにおけるヒープバッファオーバーフロー（CVE-2021-27365）

  - kernel：PI futex状態によるメモリ解放後使用（Use After Free）（CVE-2021-3347）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 1068アドバイザリに記載されている脆弱性の影響を受けます。

  - flatpak：ファイル転送機能を利用して、ファイルへの権限のないアクセス権が取得される可能性があります（CVE-2021-21381）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの CentOS Linux 8 ホストにインストールされているパッケージは、CESA-2021: 1064 のアドバイザリに記載されている脆弱性の影響を受けます。

  - QEMU: virt での CVE-2020-10756 修正の回帰: Red Hat Enterprise Linux 8.3 の rhel/qemu-kvm (CVE-2021-20295)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージには、CESA-2021: 1024アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - openssl：signature_algorithms処理におけるNULLポインターデリファレンス（CVE-2021-3449）

  - openssl：X509_V_FLAG_X509_STRICTによるCA証明書チェックバイパス（CVE-2021-3450）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 0990アドバイザリに記載されている脆弱性の影響を受けます。

  - Mozilla：バインドされていないバッキングバッファにテクスチャをアップロードすると、領域外読み取りが発生します（CVE-2021-23981）

  - Mozilla：内部ネットワークホストが、悪意のあるWebページによってプローブされている可能性があります（CVE-2021-23982）

  - Mozilla：悪意のある拡張機能がポップアップ情報を偽装した可能性があります（CVE-2021-23984）

  - Mozilla：Firefox 87とFirefox ESR 78.9で修正されたメモリ安全性に関するバグ（CVE-2021-23987）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 0993アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Mozilla：バインドされていないバッキングバッファにテクスチャをアップロードすると、領域外読み取りが発生します（CVE-2021-23981）

  - Mozilla：内部ネットワークホストが、悪意のあるWebページによってプローブされている可能性があります（CVE-2021-23982）

  - Mozilla：悪意のある拡張機能がポップアップ情報を偽装した可能性があります（CVE-2021-23984）

  - Mozilla：Firefox 87とFirefox ESR 78.9で修正されたメモリ安全性に関するバグ（CVE-2021-23987）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの CentOS Linux 7 ホストにインストールされているパッケージは、RHSA-2021:0996 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - ピクセルバッファオブジェクトのテクスチャアップロードによってWebGLコードが混乱し、アンパックに使用されるバッファのバインドをスキップすることがあります。その結果メモリが破損し、また悪用可能な情報漏洩やクラッシュが引き起こされる可能性があります。
    この脆弱性の影響を受けるのは、Firefox ESR < 78.9、Firefox < 87、Thunderbird < 78.9です。（CVE-2021-23981）

  - スリップストリームの研究に基づいた技術を使用して、悪意のあるWebページが、内部ネットワークのホストおよびユーザーのローカルマシンでWebRTC接続を使用して実行されているサービスの両方をスキャンしていた可能性があります。この脆弱性の影響を受けるのは、Firefox ESR < 78.9、Firefox < 87、Thunderbird < 78.9です。
    （CVE-2021-23982）

  - 悪意のある拡張機能によって、アドレスバーのないポップアップウィンドウが開かれる可能性があります。アドレスバーのないポップアップのタイトルが完全に制御可能であってはなりませんが、この状況では制御可能でした。これは、Webサイトを偽装し、ユーザーを騙して認証情報を提供させるために利用された可能性があります。この脆弱性の影響を受けるのは、Firefox ESR < 78.9、Firefox < 87、Thunderbird < 78.9です。（CVE-2021-23984）

  - Mozilla開発者およびコミュニティメンバーが、Firefox 86とFirefox ESR 78.8に存在するメモリ安全性のバグを報告してくれました。これらのバグの一部にはメモリ破損の証拠が示されており、当社では、手間をかけることにより、これらの一部が悪用され、任意のコードが実行される可能性があると推測しています。この脆弱性の影響を受けるのは、Firefox ESR < 78.9、Firefox < 87、Thunderbird < 78.9です。（CVE-2021-23987）

  - 古い graphics ライブラリ (Angle) に、悪用される可能性のある脆弱性が含まれているようです。この脆弱性の影響を受けるのは、Thunderbird < 78.9 および Firefox ESR < 78.9 です。(CVE-2021-4127)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの CentOS Linux 7 ホストにインストールされているパッケージは、RHSA-2021:0992 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - ピクセルバッファオブジェクトのテクスチャアップロードによってWebGLコードが混乱し、アンパックに使用されるバッファのバインドをスキップすることがあります。その結果メモリが破損し、また悪用可能な情報漏洩やクラッシュが引き起こされる可能性があります。
    この脆弱性の影響を受けるのは、Firefox ESR < 78.9、Firefox < 87、Thunderbird < 78.9です。（CVE-2021-23981）

  - スリップストリームの研究に基づいた技術を使用して、悪意のあるWebページが、内部ネットワークのホストおよびユーザーのローカルマシンでWebRTC接続を使用して実行されているサービスの両方をスキャンしていた可能性があります。この脆弱性の影響を受けるのは、Firefox ESR < 78.9、Firefox < 87、Thunderbird < 78.9です。
    （CVE-2021-23982）

  - 悪意のある拡張機能によって、アドレスバーのないポップアップウィンドウが開かれる可能性があります。アドレスバーのないポップアップのタイトルが完全に制御可能であってはなりませんが、この状況では制御可能でした。これは、Webサイトを偽装し、ユーザーを騙して認証情報を提供させるために利用された可能性があります。この脆弱性の影響を受けるのは、Firefox ESR < 78.9、Firefox < 87、Thunderbird < 78.9です。（CVE-2021-23984）

  - Mozilla開発者およびコミュニティメンバーが、Firefox 86とFirefox ESR 78.8に存在するメモリ安全性のバグを報告してくれました。これらのバグの一部にはメモリ破損の証拠が示されており、当社では、手間をかけることにより、これらの一部が悪用され、任意のコードが実行される可能性があると推測しています。この脆弱性の影響を受けるのは、Firefox ESR < 78.9、Firefox < 87、Thunderbird < 78.9です。（CVE-2021-23987）

  - 古い graphics ライブラリ (Angle) に、悪用される可能性のある脆弱性が含まれているようです。この脆弱性の影響を受けるのは、Thunderbird < 78.9 および Firefox ESR < 78.9 です。(CVE-2021-4127)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 0966アドバイザリに記載されている脆弱性の影響を受けます。

  - pki-core：権限のないユーザーが任意の証明書を更新できる（CVE-2021-20179）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 0809アドバイザリに記載されている脆弱性の影響を受けます。

  - wpa_supplicant: P2Pプロビジョニング検出処理におけるメモリ解放後使用（Use-After-Free）（CVE-2021-27803）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの CentOS Linux 7 ホストに、RHSA-2021:0856 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  -5.3.9より前のLinuxカーネルに、LinuxカーネルHIDドライバーの悪意のあるUSBデバイス、別名 CID-d9d4b1e46d95によって引き起こされる複数の領域外書き込みのバグがあります。これは、drivers/hid/hid-axff.c、drivers/hid/hid-dr.c、drivers/hid/hid-emsff.c、drivers/hid/hid-gaff.c、drivers/hid/hid-holtekff.c、drivers/hid/hid-lg2ff.c、drivers/hid/hid-lg3ff.c、drivers/hid/hid-lg4ff.c、drivers/hid/hid-lgff.c、drivers/hid/hid-logitech-hidpp.c、drivers/hid/hid-microsoft.c、drivers/hid/hid-sony.c、drivers/hid/hid-tmff.c、およびdrivers/hid/hid-zpff.cに影響します。(CVE-2019-19532)

  -core.cのcreate_pinctrlにおいて、メモリ解放後使用 (Use After Free) による領域外読み取りの可能性があります。これにより、追加の実行権限が不要になり、ローカル情報漏洩が引き起こされる可能性があります。悪用にユーザーの操作は必要ありません。製品: Android バージョン: Android kernelAndroid ID: A-140550171 (CVE-2020-0427)

  - Linux カーネルに欠陥が見つかりました。メモリ解放後使用 (Use-After-Free) の欠陥が perf サブシステムで見つかりました。このため、perf イベントを監視するアクセス許可を持つローカルの攻撃者がメモリを破損し、権限を昇格させる可能性があります。この脆弱性が最大の脅威となるのは、データの機密性と整合性、ならびにシステムの可用性です。(CVE-2020-14351)

  - 5.8.7 までの Linux カーネルで、conntrack netlink 構成を注入できるローカルの攻撃者が、ローカルバッファをオーバーフローさせ、クラッシュを引き起こすか、net/netfilter/nf_conntrack_netlink.c の ctnetlink_parse_tuple_filter で不適切なプロトコル番号の使用を発生させる可能性があります (別名 CID-1cc5ef91d2ff)。
    (CVE-2020-25211)

  - 5.9-rc7 以前のバージョンの Linux カーネルで欠陥が見つかりました。2 つの Geneve エンドポイント間のトラフィックは、GENEVE トンネルが使用する特定の UDP ポートのトラフィックを暗号化するように IPsec が構成されている場合、暗号化されない可能性があります。これにより、2 つのエンドポイント間にいる何者かが暗号化されていないトラフィックを読み取る可能性があります。この脆弱性による主な脅威は、データの機密性に対するものです。(CVE-2020-25645)

  - Linux カーネルに欠陥が見つかりました。コンソールサブシステムが ioctl の KDGKBSENT および KDSKBSENT を使用する方法に、メモリ解放後使用 (Use-After-Free) が見つかりました。ローカルユーザーがこの欠陥を利用して、領域外読み取りメモリアクセスを取得する可能性があります。この脆弱性による主な脅威は、データの機密性に関するものです。(CVE-2020-25656)

  -LinuxカーネルにおけるICMPパケットの欠陥により、攻撃者が開いているUDPポートを素早くスキャンする可能性があります。この欠陥により、オフパスのリモート攻撃者がソースポートの UDP ランダム化を効果的にバイパスできます。UDP ソースポートのランダム化に依存するソフトウェアは、Linux ベースの製品においても間接的に影響を受けます (RUGGEDCOM RM1224: v5.0 と v6.4 の間のすべてのバージョン、SCALANCE M-800: v5.0 と v6.4 の間のすべてのバージョン、SCALANCE S615: v5.0 と v6.4 の間のすべてのバージョン、SCALANCE SC-600: v2.1.3 より前のすべてのバージョン、SCALANCE W1750D: v8.3.0.1、v8.6.0、v8.7.0、SIMATIC Cloud Connect 7: すべてのバージョン、SIMATIC MV500 ファミリー: すべてのバージョン、SIMATIC NET CP 1243-1 (SIPLUS バリアントを含む): バージョン 3.1.39 以降、SIMATIC NET CP 1243-7 LTE EU: バージョン (CVE-2020-25705)

  -5.10.7より前のLinux kernel のdrivers/target/target_core_xcopy.c で、LIO SCSI ターゲットコードの識別子のチェックが不十分なため、リモートの攻撃者が、XCOPY リクエスト (別名 CID-2896c93811e3) のディレクトリトラバーサルを介して、ファイルを読み書きする可能性があります。たとえば、攻撃者が1つのiSCSI LUNにアクセス権がある場合、ネットワークで攻撃が発生する可能性があります。I/Oオペレーションが、攻撃者によって選択されたバックストアを介してプロキシされるため、攻撃者はファイルのアクセス権へのコントロールを得ます。(CVE-2020-28374)

  - 5.9.13までのLinuxカーネルのttyサブシステムで、ロックの矛盾の問題が発見されました。
    drivers/tty/tty_jobctrl.cにより、TIOCSPGRP (別名 CID-54ffccbf053b) に対するメモリ解放後使用 (Use After Free) 攻撃が可能になります。
    (CVE-2020-29661)

  - Linux カーネル 4.14.165 までの 4.14 長期、および 4.19.96 までの 4.19 長期 (および 5.2 前の 5.x) では、drivers/gpu/drm/i915/i915_gem_gtt.c の i915_ppgtt_close 関数、別名 CID-7dc40713618c にメモリ解放後使用 (Use-After-Free) (読み取り) があります。これは、drivers/gpu/drm/i915/i915_gem_context.cのi915_gem_context_destroy_ioctlに関連しています。(CVE-2020-7053)

  - シグナル保留中に、Linux カーネルの unix_stream_recvmsg 関数で、メモリリソースを解放する方法に欠陥が見つかりました。この欠陥により、権限のないローカルユーザーが利用可能なメモリを使い果たすことでシステムをクラッシュさせる可能性があります。この脆弱性が最大の脅威となるのは、システムの可用性です。
    (CVE-2021-20265)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート CentOS Linux 7 ホストに、RHSA-2021:0808 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

  - 2.10の前のwpa_supplicantのp2p/p2p_pdがP2P（Wi-Fi Direct）プロビジョニングディスカバリーリクエストを処理する方法に、脆弱性が発見されています。これにより、無線範囲内の攻撃者に対して、サービス拒否またはその他の影響（もしかすると任意コードの実行）が発生する可能性があります。（CVE-2021-27803）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの CentOS Linux 7 ホストに、RHSA-2021:0851 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  - pki-core サーバーのすべての pki-core 10.x.x バージョンモジュールで、折り返し型クロスサイトスクリプティングの欠陥が発見されました。CA Agent Service が証明書リクエストページを適切にサニタイズしていないことが原因です。攻撃者が、特別に細工された値を注入し、被害者のブラウザで実行される可能性があります。（CVE-2019-10146）

  -すべてのpki-core10.x.xバージョンで脆弱性が見つかりました。この脆弱性では、Key Recovery Authority（KRA）エージェントサービスが回復リクエスト検索ページを適切にサニタイズしないため、折り返し型クロスサイトスクリプティング（XSS）の脆弱性が発生します。攻撃者は、認証された被害者を騙して、特別に細工された JavaScript コードを実行させる可能性があります。(CVE-2019-10179)

  -すべてのpki-core10.x.xバージョンで折り返し型クロスサイトスクリプティングの脆弱性が見つかりました。pki-caモジュールはpki-coreサーバーからです。この欠陥は、GET URLパラメーターのサニタイズをしていないことが原因です。攻撃者はこの欠陥を悪用して、認証されたユーザーを騙して、ブラウザで表示されたときに任意のコードを実行できる特別に細工されたリンクをクリックさせる可能性があります。(CVE-2019-10221)

  - pki-core 10.10.5 の Key Recovery Authority (KRA) エージェントサービスに欠陥が見つかりました。この脆弱性では、キー回復リクエスト中に回復 ID が適切にサニタイズされず、折り返し型クロスサイトスクリプティング (XSS) 脆弱性が発生します。攻撃者は、認証された被害者を騙して、特別に細工された JavaScript コードを実行させる可能性があります。(CVE-2020-1721)

  - pki-core に欠陥が見つかりました 10.9.0。特別に細工された POST リクエストが DOM ベースのクロスサイトスクリプティング（XSS）攻撃を反映するために使用され、自動的に実行される検索クエリフォームにコードを注入する可能性があります。この脆弱性からの最大の脅威は、データの整合性です。(CVE-2020-25715)

  -pki-coreに欠陥が見つかりました。鍵を破ることに成功した攻撃者は、明示的に取り消されていない限り、この欠陥を利用して、対応する証明書を何度も更新する可能性があります。この脆弱性が最大の脅威となるのは、データの機密性と整合性です。(CVE-2021-20179)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 0735のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - nodejs: HTTP2の「unknownProtocol」が、リソース消費により、DoSを引き起こします（CVE-2021-22883）

  - nodejs：--inspectでのDNSリバインド（CVE-2021-22884）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 0549アドバイザリに記載されている複数の脆弱性の影響を受けます。

  -nodejs-deep-extend：プロトタイプ汚染は、攻撃者がオブジェクトのプロパティを変更することを可能にします（CVE-2018-3750）

  -nodejs-mixin-deep：関数mixin-deepのプロトタイプ汚染（CVE-2019-10746）

  -nodejs-set-value：関数set-valueのプロトタイプ汚染（CVE-2019-10747）

  - nodejs-npm-user-validate：ユーザーの電子メールを検証する際の不適切な入力検証がReDoSを引き起こす（CVE-2020-7754）

  - nodejs-ini：悪意のあるINIファイルを介したプロトタイプ汚染（CVE-2020-7788）

  - nodejs: TLS実装のuse-after-free（CVE-2020-8265）

  - nodejs: httpリクエスト内のヘッダーフィールドの2つのコピーを介したHTTPリクエストスマグリング（CVE-2020-8287）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 0744のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - nodejs：HTTP2の「unknownProtocol」が、リソース消費により、DoSを引き起こします（CVE-2021-22883）

  - nodejs：--inspectでのDNSリバインド（CVE-2021-22884）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 0734のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - nodejs：HTTP2の「unknownProtocol」が、リソース消費により、DoSを引き起こします（CVE-2021-22883）

  - nodejs：--inspectでのDNSリバインド（CVE-2021-22884）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 0711のアドバイザリに記載されている脆弱性の影響を受けます。

  - QEMU：virtiofsd：ゲストからの潜在的に権限があるホストデバイスのアクセス（CVE-2020-35517）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 0696のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - grub2：acpiコマンドにより権限のあるユーザーが、セキュアブートが有効な場合に、細工されたACPIテーブルをロードすることができます（CVE-2020-14372）

  - grub2：rmmodコマンドでのUse-After-Free（CVE-2020-25632）

  - grub2：grub_usb_device_initialize()での領域外書き込み（CVE-2020-25647）

  - grub2：grub_parser_split_cmdline()でのバッファオーバーフローのスタック（CVE-2020-27749）

  - grub2：cutmemコマンドにより、セキュアブートが有効な場合に、権限のあるユーザーがメモリ領域を削除することができます（CVE-2020-27779）

  - grub2：ショートフォームオプションパーサーでのヒープ領域外書き込み（CVE-2021-20225）

  - grub2：引用に必要なスペースの計算間違いによるヒープ領域外書き込み（CVE-2021-20233）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 0705のアドバイザリに記載されている脆弱性の影響を受けます。

  - podman：コンテナのユーザー権限が特権容器に尊敬されていません（CVE-2021-20188）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 0706のアドバイザリに記載されている脆弱性の影響を受けます。

  - podman：コンテナのユーザー権限が特権容器に尊敬されていません（CVE-2021-20188）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの CentOS Linux 7 ホストには、RHSA-2021:0671 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

  - 影響を受けるバージョンを実行しており、GSS-TSIG 機能を使用するように設定されている場合、BIND サーバーは脆弱です。BIND のデフォルト設定を使用する設定では、脆弱なコードパスは公開されませんが、tkey-gssapi-keytab または tkey-gssapi-credential 設定オプションの有効な値を明示的に設定することで、サーバーが脆弱になる可能性があります。デフォルトの構成は脆弱ではありませんが、GSS-TSIGは、BINDがSambaと統合されているネットワークや、BINDサーバーをActive Directoryドメインコントローラーと組み合わせる混合サーバー環境で頻繁に使用されています。脆弱性の悪用に成功した場合、最も可能性が高いのは、namedプロセスのクラッシュです。リモートコード実行は実証されていませんが、理論的には可能です。影響を受ける対象: BIND 9.5.0 -> 9.11.27、9.12.0 -> 9.16.11、およびバージョン BIND 9.11.3-S1 -> 9.11.27-S1 および 9.16.8-S1 -> BIND Supported Preview Edition の 9.16.11-S1。
    さらにリリースバージョン9.17.0 -> BIND 9.17開発ブランチ9.17.1(CVE-2020-8625)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ頼っていることに注意してください。

リモートの CentOS Linux 7 ホストには、RHSA-2021:0024 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

  - 6.9.11-40 より前の ImageMagick および 7.0.10-40 より前の 7.x は、-authenticate オプションを不適切に処理します。これにより、パスワードで保護された PDF ファイルにパスワードを設定できます。ユーザーが制御するパスワードが適切にエスケープ/サニタイズされなかったため、coders/pdf.c を介して追加のシェルコマンドを注入することができました。
    （CVE-2020-29599）

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの CentOS Linux 7 ホストにインストールされているパッケージは、RHSA-2021:0656 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  -コンテンツセキュリティポリシーがフレームナビゲーションをブロックした場合、フレームで提供されるリダイレクトの完全な宛先が違反レポートで報告されました。元のフレームURIとは対照的です。これはそのようなURLに含まれる機密情報を漏洩するために使用される可能性があります。この脆弱性の影響を受けるのは、Firefox < 86、Thunderbird <、78.8Firefox ESR < 78.8です。(CVE-2021-23968)

  -W3Cコンテンツセキュリティポリシーのドラフトで指定されているとおり、ユーザーエージェントは、違反レポートを作成するとき、ソースファイルが事前にリダイレクトしたページによってリクエストされたURLであることを確認する必要があります。それが不可能な場合、ユーザーエージェントは意図しない漏洩を防ぐために、URL をオリジンまで細工する必要があります。特定の種類のリダイレクトで、Firefoxがソースファイルをリダイレクト先として不適切に設定していました。これはリダイレクト先の起点になるように修正されました。この脆弱性の影響を受けるのは、Firefox < 86、Thunderbird <、78.8Firefox ESR < 78.8です。(CVE-2021-23969)

  オーディオ/ビデオコンテキストでクロスオリジンリソースの読み込みを試行する際、デコーディングエラーが発生した可能性があり、エラーの内容によってリソースの情報が明らかになった可能性があります。この脆弱性の影響を受けるのは、Firefox < 86、Thunderbird <、78.8Firefox ESR < 78.8です。(CVE-2021-23973)

  - Mozilla開発者が、Firefox 85およびFirefox ESR 78.7に存在するメモリの安全性に関するバグを報告しました。これらのバグの一部にはメモリ破損の証拠が示されており、当社では、手間をかけることにより、これらの一部が悪用され、任意のコードが実行される可能性があると推測しています。この脆弱性の影響を受けるのは、Firefox < 86、Thunderbird <、78.8Firefox ESR < 78.8です。(CVE-2021-23978)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの CentOS Linux 7 ホストに、RHSA-2020:5408 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  - xserverメモリが適切に初期化されないという欠陥が見つかりました。このため、サーバーメモリの一部がXクライアントに漏洩する可能性があります。Xorgサーバーが昇格した権限で実行される場合、ASLRバイパスが発生する可能性があります。バージョン1.20.9より前のXorg-serverが脆弱です。（CVE-2020-14347）

  - バージョン1.20.10の前のX.Org Serverに欠陥が見つかりました。XkbSetMap関数での領域外アクセスにより、権限昇格の脆弱性が発生する可能性があります。この脆弱性が最大の脅威となるのは、データの機密性と整合性、ならびにシステムの可用性です。(CVE-2020-14360)

  - 1.20.10以前のxorg-x11-serverに欠陥が見つかりました。XkbSetDeviceInfoのヒープバッファオーバーフローが権限昇格の脆弱性を引き起こす可能性があります。この脆弱性が最大の脅威となるのは、データの機密性と整合性、ならびにシステムの可用性です。(CVE-2020-25712)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの CentOS Linux 7 ホストには、RHSA-2020:5402 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

  - exif-entry.cのexif_entry_get_valueでは、整数オーバーフローによる領域外書き込みの可能性があります。サードパーティのアプリがこのライブラリを使用して、追加の実行権限を必要とせずにリモートイメージデータを処理した場合、リモートでコードが実行される可能性があります。ユーザーの操作は不要で悪用できます。製品：AndroidVersions：Android-8.1 Android-9 Android-10 Android-11 Android-8.0Android ID：
    A-159625731 (CVE-2020-0452)

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの CentOS Linux 7 ホストにインストールされているパッケージは、RHSA-2021:0661 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  -コンテンツセキュリティポリシーがフレームナビゲーションをブロックした場合、フレームで提供されるリダイレクトの完全な宛先が違反レポートで報告されました。元のフレームURIとは対照的です。これはそのようなURLに含まれる機密情報を漏洩するために使用される可能性があります。この脆弱性の影響を受けるのは、Firefox < 86、Thunderbird <、78.8Firefox ESR < 78.8です。(CVE-2021-23968)

  -W3Cコンテンツセキュリティポリシーのドラフトで指定されているとおり、ユーザーエージェントは、違反レポートを作成するとき、ソースファイルが事前にリダイレクトしたページによってリクエストされたURLであることを確認する必要があります。それが不可能な場合、ユーザーエージェントは意図しない漏洩を防ぐために、URL をオリジンまで細工する必要があります。特定の種類のリダイレクトで、Firefoxがソースファイルをリダイレクト先として不適切に設定していました。これはリダイレクト先の起点になるように修正されました。この脆弱性の影響を受けるのは、Firefox < 86、Thunderbird <、78.8Firefox ESR < 78.8です。(CVE-2021-23969)

  オーディオ/ビデオコンテキストでクロスオリジンリソースの読み込みを試行する際、デコーディングエラーが発生した可能性があり、エラーの内容によってリソースの情報が明らかになった可能性があります。この脆弱性の影響を受けるのは、Firefox < 86、Thunderbird <、78.8Firefox ESR < 78.8です。(CVE-2021-23973)

  - Mozilla開発者が、Firefox 85およびFirefox ESR 78.7に存在するメモリの安全性に関するバグを報告しました。これらのバグの一部にはメモリ破損の証拠が示されており、当社では、手間をかけることにより、これらの一部が悪用され、任意のコードが実行される可能性があると推測しています。この脆弱性の影響を受けるのは、Firefox < 86、Thunderbird <、78.8Firefox ESR < 78.8です。(CVE-2021-23978)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 0657のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Mozilla：コンテンツセキュリティポリシー違反レポートにリダイレクト先が含まれている可能性があります（CVE-2021-23968、CVE-2021-23969）

  - Mozilla：MediaErrorメッセージプロパティは、クロスオリジンリソースに関する情報を漏洩する可能性があります（CVE-2021-23973）

  - Mozilla：Firefox 86とFirefox ESR 78.8で修正されたメモリ安全性に関するバグ（CVE-2021-23978）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 0618アドバイザリに記載されている脆弱性の影響を受けます。

  - stunnel：リダイレクトおよびverifyChainオプションが使用されている場合、クライアント証明書が正しく検証されない（CVE-2021-20230）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 0655のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Mozilla：コンテンツセキュリティポリシー違反レポートにリダイレクト先が含まれている可能性があります（CVE-2021-23968、CVE-2021-23969）

  - Mozilla：MediaErrorメッセージプロパティは、クロスオリジンリソースに関する情報を漏洩する可能性があります（CVE-2021-23973）

  - Mozilla：Firefox 86とFirefox ESR 78.8で修正されたメモリ安全性に関するバグ（CVE-2021-23978）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 0548アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - npm: ログを通じた機密情報の漏洩（CVE-2020-15095）

  -nodejs-ajv：ajv.validate関数における細工されたJSONスキーマによるプロトタイプ汚染（CVE-2020-15366）

  - nodejs-yargs-parser：プロトタイプ汚染の脆弱性（CVE-2020-7608）

  - nodejs-npm-user-validate：ユーザーの電子メールを検証する際の不適切な入力検証がReDoSを引き起こす（CVE-2020-7754）

  - nodejs-y18n: プロトタイプ汚染の脆弱性（CVE-2020-7774）

  - nodejs-ini：悪意のあるINIファイルを介したプロトタイプ汚染（CVE-2020-7788）

  - nodejs-dot-prop: プロトタイプ汚染（CVE-2020-8116）

  - libuv: realpathにおけるバッファオーバーフロー（CVE-2020-8252）

  - nodejs: TLS実装のuse-after-free（CVE-2020-8265）

  - nodejs: httpリクエスト内のヘッダーフィールドの2つのコピーを介したHTTPリクエストスマグリング（CVE-2020-8287）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 0611アドバイザリに記載されている脆弱性の影響を受けます。

  - xterm：組み合わせ文字を処理する際のクラッシュ（CVE-2021-27135）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 0538アドバイザリ。

  - nss：P-384およびP-521の実装は、サイドチャネルの脆弱なモジュラー逆数関数を使用します（CVE-2020-12400）

  - nss：CHACHA20-POLY1305 サイズの小さいタグでの暗号化により、領域外読み取りが発生します（CVE-2020-12403）

  - nss：ECDSA署名生成におけるサイドチャネル攻撃（CVE-2020-6829）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 0551アドバイザリ。

  -nodejs-ajv：ajv.validate関数における細工されたJSONスキーマによるプロトタイプ汚染（CVE-2020-15366）

  - nodejs-npm-user-validate：ユーザーの電子メールを検証する際の不適切な入力検証がReDoSを引き起こす（CVE-2020-7754）

  - nodejs-y18n: プロトタイプ汚染の脆弱性（CVE-2020-7774）

  - nodejs-ini：悪意のあるINIファイルを介したプロトタイプ汚染（CVE-2020-7788）

  - nodejs: TLS実装のuse-after-free（CVE-2020-8265）

  - c-ares：ares_parse_{a,aaaa}_reply()の不十分なnaddrttls検証のDoS（CVE-2020-8277）

  - nodejs: httpリクエスト内のヘッダーフィールドの2つのコピーを介したHTTPリクエストスマグリング（CVE-2020-8287）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの CentOS Linux 8 ホストには、CESA-2021:0507 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

  - subversion: mod_authz_svn におけるリモートの認証されていないサービス拒否 (CVE-2020-17525)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの CentOS Linux 7 ホストには、RHSA-2021:0411 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

  - Flatpak は、Linux でサンドボックス化されたデスクトップアプリケーションを構築、配布、実行するためのシステムです。「flatpak-portal」サービスでバグが発見されました。これにより、サンドボックス化されたアプリケーションがホストシステム上で任意のコードを実行する可能性があります (サンドボックスのエスケープ) 。このサンドボックス回避のバグは、0.11.4からのバージョン、修正された1.8.5および1.10.0の前のバージョンに存在します。FlatpakポータルD-Busサービス (「flatpak-portal」、D-Busサービス名「org.freedesktop.portal.Flatpak」としても知られる) により、Flatpakサンドボックス内のアプリは、新しいサンドボックスインスタンスで独自のサブプロセスを起動することができます。発信者と同じセキュリティ設定を使用するか、より制限的なセキュリティ設定を使用します。たとえば、これはChromiumなどのFlatpakパッケージのWebブラウザで使用され、信頼できないWebコンテンツを処理するサブプロセスを起動し、これらのサブプロセスにブラウザ自体よりも制限的なサンドボックスを与えます。脆弱なバージョンでは、Flatpakポータルサービスは呼び出し元が指定した環境変数をホストシステム上のサンドボックス化されていないプロセス、特に新しいサンドボックスインスタンスを起動するために使用される「flatpak run」コマンドに渡します。悪意のあるまたは侵害されたFlatpakアプリは、「flatpak run」コマンドによって信頼される環境変数を設定し、それを使用してサンドボックスにない任意のコードを実行する可能性があります。回避策として、この脆弱性は「flatpak-portal」サービスの起動を防ぐことで緩和できますが、この緩和策は多くのFlatpakアプリの正常な動作を妨げます。これはバージョン1.8.5および1.10.0で修正されました。（CVE-2021-21261）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの CentOS Linux 7 ホストに、RHSA-2021:0343 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  32 ビットプラットフォーム上の 5.30.3 より前の Perl では、ネストされた正規表現修飾子に整数オーバーフローがあるため、ヒープベースのバッファオーバーフローが発生する可能性があります。(CVE-2020-10543)

  5.30.3 以前の Perl には、「PL_regkind[OP(n)] == NOTHING」状況の誤った処理に関連する整数オーバーフローがあります。細工された正規表現が、命令インジェクションの可能性がある無効な形式のバイトコードにつながる可能性があります。(CVE-2020-10878)

  - 5.30.3 より前の Perl の regcomp.c は、再帰 S_study_chunk コールが原因で、細工された正規表現を介してバッファオーバーフローを起こす可能性があります。(CVE-2020-12723)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの CentOS Linux 7 ホストには、RHSA-2021:0339 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

  - バージョン 21.110 以前の一部の Intel(R) Wireless Bluetooth(R) 製品の不適切なバッファ制限により、認証されていないユーザーが隣接アクセスを介して権限昇格を可能にする可能性があります。
    (CVE-2020-12321)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの CentOS Linux 7 ホストに、RHSA-2021:0347 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  - QEMU 4.0 および 4.1.0 の hw/core/loader.c の rom_copy() は、2 つのアドレス間の関係を検証しません。これにより、攻撃者が無効なメモリコピー操作をトリガーできます。(CVE-2020-13765)

  - 5.0.0までのQEMUのネットワークパケット処理でアサーション失敗が発生する可能性があります。この問題はe1000eおよびvmxnet3ネットワークデバイスに影響します。悪意のあるゲストユーザー/プロセスがこの欠陥を利用して、ホストのQEMUプロセスを中止させる可能性があります。その結果、hw/net/net_tx_pkt.cのnet_tx_pkt_add_raw_fragmentでサービス拒否が発生します。（CVE-2020-16092）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの CentOS Linux 7 ホストに、RHSA-2021:0348 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  - 2.32までのGNU Cライブラリ（別名glibcまたはlibc6）のiconv機能において、EUC-KRエンコーディングで無効なマルチバイトの入力シーケンスが処理される場合、バッファオーバーリードが発生する可能性があります。（CVE-2019-25013）

  - 2.32 より前の GNU C ライブラリ (別名: glibc または libc6) は、80 ビットの長さのある二重関数への入力に、x86 ターゲット上の sinl に 0x5d414141414141410000 値を渡すときに見られる非正規ビットパターンが含まれる場合、範囲の縮小中にオンスタックバッファがオーバーフローする可能性があります。これは、sysdeps/ieee754/ldbl-96/e_rem_pio2l.cに関連しています。（CVE-2020-10029）

  -関数のprintfファミリーへの入力が80ビットのdouble型である場合、x86ターゲット上の 2.23 より前のGNU Cライブラリ（別名glibcまたはlibc6）のsysdeps / i386 / ldbl2mpn.cにスタックベースのバッファオーバーフローがあります。これは、\ x00 \ x04 \ x00 \ x00 \ x00 \ x00 \ x00 \ x00 \ x00 \ x04の値をsprintfに渡す際に見られるように、非正規のビットパターンで注意: 2016 年以降 (2.23 以降) のデフォルトでは、この問題は glibc に影響しません。これは、GCC ビルトインの使用による C99 math 関数のインライン化に対して 2015 年に行われたコミットが原因です。言い換えれば、26649 の参考資料の Fix for glibc 2.33に言及されているにもかかわらず、2.23 への記載は意図的なものです。
    (CVE-2020-29573)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートのCentOS Linux 8ホストにインストールされているパッケージは、CESA-2021: 0304アドバイザリに記載されている脆弱性の影響を受けます。

  - flatpak：spawnポータルによるサンドボックス回避（CVE-2021-21261）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ID	名前	深刻度
148863	CentOS 8：mariadb：10.3およびmariadb-devel：10.3（CESA-2021：1242）	high
148745	CentOS 7：nettle（RHSA-2021:1145）	high
148688	CentOS 8：gnutlsおよびnettle（CESA-2021：1206）	high
148687	CentOS 8：thunderbird（CESA-2021：1193）	high
148686	CentOS 8：libldb（CESA-2021：1197）	high
148557	CentOS 7：screen（RHSA-2021:0742）	critical
148426	CentOS 7：libldb（RHSA-2021:1072）	high
148425	CentOS 7 : kernel (RHSA-2021:1071)	high
148424	CentOS 8：389-ds：1.4（CESA-2021：1086）	medium
148422	CentOS 8：カーネル（CESA-2021：1093）	high
148420	CentOS 8：flatpak（CESA-2021：1068）	high
148318	CentOS 8: virt: rhel および virt-devel: rhel (CESA-2021: 1064)	medium
148281	CentOS 8：openssl（CESA-2021: 1024）	high
148188	CentOS 8：firefox（CESA-2021：0990）	high
148187	CentOS 8：thunderbird（CESA-2021：0993）	high
148185	CentOS 7 : thunderbird (RHSA-2021:0996)	critical
148184	CentOS 7 : firefox (RHSA-2021:0992)	critical
148033	CentOS 8：pki-core: 10.6（CESA-2021: 0966）	high
147887	CentOS 8：wpa_supplicant（CESA-2021: 0809）	high
147885	CentOS 7 : kernel (RHSA-2021:0856)	high
147884	CentOS 7：wpa_supplicant（RHSA-2021:0808）	high
147883	CentOS 7：pki-core（RHSA-2021:0851）	high
147713	CentOS 8：nodejs: 10（CESA-2021：0735)	high
146539	CentOS 8：nodejs: 12 (CESA-2021：0549)	critical
147191	CentOS 8：nodejs: 14 (CESA-2021：0744)	high
147137	CentOS 8：nodejs: 12 (CESA-2021：0734)	high
146994	CentOS 8：virt: rhelおよびvirt-devel: rhel（CESA-2021：0711）	high
146965	CentOS 8：grub2（CESA-2021：0696）	high
146964	CentOS 8：container-tools：1.0（CESA-2021：0705）	high
146963	CentOS 8：container-tools：2.0 (CESA-2021：0706）	high
146958	CentOS 7：bind（RHSA-2021:0671）	high
146883	CentOS 7：ImageMagick（RHSA-2021:0024）	high
146882	CentOS 7 : firefox (RHSA-2021:0656)	high
146881	CentOS 7：xorg-x11-server（RHSA-2020:5408）	high
146880	CentOS 7：libexif（RHSA-2020:5402）	critical
146879	CentOS 7 : thunderbird (RHSA-2021:0661)	high
146872	CentOS 8：thunderbird（CESA-2021：0657）	high
146871	CentOS 8：stunnel（CESA-2021：0618）	high
146870	CentOS 8：firefox（CESA-2021：0655）	high
146802	CentOS 8：nodejs: 10（CESA-2021：0548)	critical
146800	CentOS 8：xterm (CESA-2021：0611）	critical
146552	CentOS 8：nss（CESA-2021：0538）	critical
146548	CentOS 8：nodejs: 14 (CESA-2021：0551)	critical
146490	CentOS 8 : subversion:1.10（CESA-2021:0507）	high
146315	CentOS 7：flatpak（RHSA-2021:0411）	high
146100	CentOS 7：perl（RHSA-2021:0343）	high
146099	CentOS 7：linux-firmware（RHSA-2021:0339）	high
146098	CentOS 7：qemu-kvm（RHSA-2021:0347）	medium
146097	CentOS 7 : glibc (RHSA-2021:0348)	high
146089	CentOS 8：flatpak（CESA-2021：0304）	high

検出

Nessus の CentOS Local Security Checks ファミリー

high

high

high

high

high

critical

high

high

medium

high

high

medium

high

high

high

critical

critical

high

high

high

high

high

high

critical

high

high

high

high

high

high

high

high

high

high

critical

high

high

high

high

critical

critical

critical

critical

high

high

high

high

medium

high

high