リモートの Redhat Enterprise Linux 9 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - poppler: pdfunite.cc の main() で中止 (CVE-2022-37051)

Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 9 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは複数の脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - loader-utils: parseQuery.js の関数 parseQuery におけるプロトタイプ汚染 (CVE-2022-37601)

  - minimatch パッケージに脆弱性が見つかりました。この欠陥により、特定の引数で braceExpand 関数を呼び出す際に、正規表現によるサービス拒否 (ReDoS) が発生し、サービス拒否が発生する可能性があります。(CVE-2022-3517)

注意: Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 8 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは複数の脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - QEMU: usbredir: bufp_alloc() の無効なポインターでの free() 呼び出し (CVE-2021-3682)

  - QEMU 3.1 および 4.0.0 の qemu-bridge-helper.c では、ネットワークインターフェイス名 (bridge.conf または --br=bridge オプションから取得) が IFNAMSIZ サイズに限定されることが保証されていません。そのため、ACL バイパスが発生する可能性があります。
    (CVE-2019-13164)

  - In QEMU 4.2.0 では、MemoryRegionOps オブジェクトに読み取り/書き込みのコールバックメソッドがなく、NULL ポインターデリファレンスが発生する可能性があります。(CVE-2020-15469)

注意: Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 7 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは複数の脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - squid: 子プロセスの生成に UID 割り当てがないことにより、権限昇格を引き起こす可能性があります (CVE-2019-12522)

  - 拒否理由: この候補番号は使用しないでください。ConsultIDs: なし。理由: この候補は、その CNA により撤回されました。さらなる調査の結果、これはセキュリティ問題ではないことが判明しました。注意: なし。(CVE-2024-33427)

注意: Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 8 ホストには、脆弱性の影響を受ける 1 つ以上のパッケージがインストールされています。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - angularjs: <input type=url> 要素経由の正規表現によるサービス拒否 (CVE-2023-26118)

Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 9 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - ghostscript: completefont の不適切な処理 (CVE-2019-3839 の不完全な修正) (CVE-2019-25059)

Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 8 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは複数の脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - nodejs-hosted-git-info: fromUrl() の shortcutMatch による正規表現のサービス拒否 (CVE-2021-23362)

  - loader-utils: parseQuery.js の関数 parseQuery におけるプロトタイプ汚染 (CVE-2022-37601)

  - 8.0.1で修正された、SSRI 5.2.2-8.0.0 は、サービス拒否に対して脆弱である正規表現を使用して SRI を処理します。悪意のある SRI の処理に非常に長い時間がかかり、サービス拒否が発生する可能性があります。この問題は、厳格なオプションを使用するコンシューマーにのみ影響します。(CVE-2021-27290)

注意: Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 7 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは複数の脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - Qemu: 名前が長すぎるとき、qemu-bridge-helper ACL がバイパスされる可能性があります (CVE-2019-13164)

  - In QEMU 4.2.0 では、MemoryRegionOps オブジェクトに読み取り/書き込みのコールバックメソッドがなく、NULL ポインターデリファレンスが発生する可能性があります。(CVE-2020-15469)

  - usb_packet_map の戻り値がチェックされないため、QEMU 5.0.0 には hw/usb/hcd-xhci.c におけるメモリ解放後使用 (Use-After-Free) があります。(CVE-2020-25084)

注意: Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 6 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは脆弱性の影響を受けます。この脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - QEMU: usb: パケットの設定中のメモリ解放後使用 (use-after-free) の問題 (CVE-2020-25084)

Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 8 ホストには、脆弱性の影響を受ける 1 つ以上のパッケージがインストールされています。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - poppler:「FoFiType1C::cvtGlyph」のスタックオーバーフロー (CVE-2020-36023)

Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 7 ホストには、脆弱性の影響を受ける 1 つ以上のパッケージがインストールされています。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - ipa: ログアウト後にセッションが終了しません (CVE-2019-14826)

Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 7 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは複数の脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - postgresql: 集計関数呼び出しにおけるメモリ漏洩 (CVE-2023-5868)

  - PostgreSQL に、論理レプリケーションランチャー、autovacuum ワーカー、autovacuum ランチャーなどのバックグラウンドワーカーにシグナルを送信する pg_cancel_backend ロールに関連する欠陥が見つかりました。悪用を成功させるには、回復力の低いバックグラウンドワーカーを備えた非コアの拡張が必要であり、その特定のバックグラウンドワーカーにのみ影響を与えます。この問題により、高い権限を持つリモートユーザーがサービス拒否 (DoS) 攻撃を開始する可能性があります。(CVE-2023-5870)

注意: Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 8 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは複数の脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - expat: doctype 解析のスタック枯渇 (CVE-2022-25313)

  - 2.5.0 までの libexpat では、XML_DTD がコンパイル時に未定義の場合、再帰 XML エンティティ拡張が可能です。
    (CVE-2023-52426)

注意: Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 9 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - angularjs: <input type=url> 要素経由の正規表現によるサービス拒否 (CVE-2023-26118)

Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 8 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは複数の脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - nodejs-underscore: テンプレート関数による任意のコード実行 (CVE-2021-23358)

  - node-fetch は認証されていないアクターへの機密情報の漏洩に対して脆弱です (CVE-2022-0235)

  - パッケージ scss-tokenizer のすべてのバージョンは、安全でない正規表現を使用しているため、loadAnnotation() 関数を介した正規表現のサービス拒否 (ReDoS) に対して脆弱です。(CVE-2022-25758)

注意: Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 8 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは複数の脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - ghostscript: completefont の不適切な処理 (CVE-2019-3839 の不完全な修正) (CVE-2019-25059)

  - Ghostscript GhostPDL 9.50から 9.53.3 は、sampled_data_sample (sampled_data_continue および interp から呼び出される) にメモリ解放後使用 (use-after-free) があります。(CVE-2021-45944)

  - Ghostscript GhostPDL 9.50から 9.54.0 には、ヒープベースのバッファオーバーフローが sampled_data_finish (sampled_data_continue および interp から呼び出される) にあります。(CVE-2021-45949)

注意: Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 7 ホストには、脆弱性の影響を受ける 1 つ以上のパッケージがインストールされています。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - expat: XML_ExternalEntityParserCreate の共有 DTD の過剰な破壊によって引き起こされるメモリ解放後使用 (Use After Free) (CVE-2022-43680)

Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 6 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは脆弱性の影響を受けます。この脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - quarkus-core: ローカル設定プロパティの Quarkus アプリケーションへの漏洩 (CVE-2024-2700)

Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 6 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは脆弱性の影響を受けます。この脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - io.vertx:vertx-core: TCP サーバーが TLS および SNI サポートで設定されている場合のメモリ漏洩 (CVE-2024-1300)

Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 8 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは複数の脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - golang: crypto/elliptic: P-224 カーブでの不適切な操作 (CVE-2021-3114)

  - Go 1.17.11および Go 1.18.3より前の crypto/tls のセッションチケットの ticket_age_add のランダムではない値により、TLS ハンドシェイクを観察できる攻撃者が、セッション再開中にチケットの有効期間を比較することで、連続する接続を相互に関連付けることができます。(CVE-2022-30629)

注意: Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 7 ホストには、脆弱性の影響を受ける 1 つ以上のパッケージがインストールされています。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - QEMU: exec: address_space_map が長さをゼロに設定せずに NULL を返すことにより DoS が発生する可能性 (CVE-2020-13659)

Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 9 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは複数の脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  -marked: 正規表現の inline.reflinkSearch により、サービス拒否が引き起こされる可能性 (CVE-2022-21681)

  - Marked は、マークダウンパーサーおよびコンパイラです。バージョン 4.0.10より前は、正規表現「block.def」が一部の文字列に対して壊滅的なバックトラックを引き起こし、正規表現のサービス拒否 (ReDoS) を引き起こす可能性があります。Marked の脆弱なバージョンを介して信頼できないマークダウンを実行し、制限時間のあるワーカーを使用しないユーザーが影響を受ける可能性があります。この問題には、バージョン 4.0.10 でパッチが適用されています。回避策として、marked または run marked を介して、信頼できない markdown がワーカースレッドで実行されないようにし、適切な時間制限を設定して、リソースの消耗を防ぎます。(CVE-2022-21680)

注意: Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 8 ホストには、脆弱性の影響を受ける 1 つ以上のパッケージがインストールされています。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - 開発者環境: Unicode の双方向 (BiDi) オーバーライド文字により、トロイの木馬ソース攻撃が引き起こされる可能性 (CVE-2021-42574)

Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 8 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは複数の脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - Moment.js: moment.locale のパストラバーサル (CVE-2022-24785)

  - ansi-regex は非効率的な正規表現の複雑性に対して脆弱です (CVE-2021-3807)

  - Marked は、マークダウンパーサーおよびコンパイラです。バージョン 4.0.10より前は、正規表現「block.def」が一部の文字列に対して壊滅的なバックトラックを引き起こし、正規表現のサービス拒否 (ReDoS) を引き起こす可能性があります。Marked の脆弱なバージョンを介して信頼できないマークダウンを実行し、制限時間のあるワーカーを使用しないユーザーが影響を受ける可能性があります。この問題には、バージョン 4.0.10 でパッチが適用されています。回避策として、marked または run marked を介して、信頼できない markdown がワーカースレッドで実行されないようにし、適切な時間制限を設定して、リソースの消耗を防ぎます。(CVE-2022-21680)

注意: Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 9 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは複数の脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - angular: XSS の脆弱性 (CVE-2021-4231)

  - Hawk は、リクエストと応答の部分的な暗号検証を伴う認証された HTTP リクエストを行うためのメカニズムを提供する HTTP 認証スキームであり、HTTP メソッド、リクエスト URI、ホスト、およびオプションでリクエストペイロードをカバーします。Hawk は正規表現を使用して「Host」HTTP ヘッダー (「Hawk.utils.parseHost()」) を解析していました。これは正規表現の DoS 攻撃の対象になりました。これは、攻撃者の入力に追加された各文字が計算時間を指数関数的に増加させることを意味します。ホスト名を解析するためにビルトインの「URL」クラスを使用するために、「parseHost()」が「9.0.1」でパッチされました。「Hawk.authenticate()」は「options」引数を受け入れます。これに「host」と「port」が含まれている場合、「utils.parseHost()」の呼び出しの代わりにそれらが使用されます。(CVE-2022-29167)

  - 正規表現のサービス拒否 (ReDoS) の欠陥が、interpolateName.js の url 変数を介して、webpack loader-utils 2.0.0 の interpolateName.js の Function interpolateName で見つかりました。
    (CVE-2022-37603)

注意: Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 8 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは複数の脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - angular: XSS の脆弱性 (CVE-2021-4231)

  - Hawk は、リクエストと応答の部分的な暗号検証を伴う認証された HTTP リクエストを行うためのメカニズムを提供する HTTP 認証スキームであり、HTTP メソッド、リクエスト URI、ホスト、およびオプションでリクエストペイロードをカバーします。Hawk は正規表現を使用して「Host」HTTP ヘッダー (「Hawk.utils.parseHost()」) を解析していました。これは正規表現の DoS 攻撃の対象になりました。これは、攻撃者の入力に追加された各文字が計算時間を指数関数的に増加させることを意味します。ホスト名を解析するためにビルトインの「URL」クラスを使用するために、「parseHost()」が「9.0.1」でパッチされました。「Hawk.authenticate()」は「options」引数を受け入れます。これに「host」と「port」が含まれている場合、「utils.parseHost()」の呼び出しの代わりにそれらが使用されます。(CVE-2022-29167)

  - 正規表現のサービス拒否 (ReDoS) の欠陥が、interpolateName.js の url 変数を介して、webpack loader-utils 2.0.0 の interpolateName.js の Function interpolateName で見つかりました。
    (CVE-2022-37603)

注意: Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 6 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは脆弱性の影響を受けます。この脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - micromatch: 正規表現によるサービス拒否の脆弱性 (CVE-2024-4067)

Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 7 ホストには、脆弱性の影響を受ける 1 つ以上のパッケージがインストールされています。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - 開発者環境: Unicode の双方向 (BiDi) オーバーライド文字により、トロイの木馬ソース攻撃が引き起こされる可能性 (CVE-2021-42574)

Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 8 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは複数の脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - golang: math/big: big.Float および big.Rat 型のデコードで、エンコードされたメッセージが短すぎる場合にパニックを起こし、サービス拒否が発生する可能性があります (CVE-2022-32189)

  - Reader.Read は、ファイルヘッダーの最大サイズに制限を設定しません。悪意を持って細工されたアーカイブにより、Read が無制限の量のメモリを割り当て、リソースの枯渇またはパニックを引き起こす可能性があります。
    修正後の Reader.Read はヘッダーブロックの最大サイズを 1 MiB に制限します。(CVE-2022-2879)

注意: Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 9 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは複数の脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - golang: math/big: big.Float および big.Rat 型のデコードで、エンコードされたメッセージが短すぎる場合にパニックを起こし、サービス拒否が発生する可能性があります (CVE-2022-32189)

  - Reader.Read は、ファイルヘッダーの最大サイズに制限を設定しません。悪意を持って細工されたアーカイブにより、Read が無制限の量のメモリを割り当て、リソースの枯渇またはパニックを引き起こす可能性があります。
    修正後の Reader.Read はヘッダーブロックの最大サイズを 1 MiB に制限します。(CVE-2022-2879)

注意: Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 8 ホストには、脆弱性の影響を受ける 1 つ以上のパッケージがインストールされています。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - guava: 安全ではないアクセス許可で作成した一時ディレクトリを介したローカルの情報漏洩 (CVE-2020-8908)

Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 8 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは複数の脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - gstreamer-plugins-good: zlib 解凍を使用した mp4 デマルチプレックスでヒープが上書きされる可能性 (CVE-2022-2122)

  - gst_matroska_demux_add_wvpk_header 関数の matroskademux 要素の整数オーバーフローにより、matroska ファイルの解析中にヒープが上書きされる可能性があります。ヒープ上書きによる任意のコード実行の可能性。(CVE-2022-1920)

  - gst_avi_demux_invert 関数の avidemux 要素の整数オーバーフローにより、avi ファイルの解析中にヒープが上書きされる可能性があります。ヒープ上書きによる任意のコード実行の可能性。(CVE-2022-1921)

注意: Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:4499 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Ruby は、拡張可能なインタープリタ型の、オブジェクト指向スクリプト言語です。テキストファイルを処理する機能、およびシステム管理タスクを実行する機能があります。

    セキュリティ修正プログラム:

    * rubygem-uri: ReDoS の脆弱性 - CVE-2023-28755 に対する upstream の不完全な修正 (CVE-2023-36617)

    * ruby: StringIO におけるバッファオーバーリードの脆弱性 (CVE-2024-27280)

    * ruby: RDoc における .rdoc_options による RCE 脆弱性 (CVE-2024-27281)

    * ruby: Regex 検索での任意のメモリアドレス読み取りの脆弱性 (CVE-2024-27282)

    * REXML: 属性値に多数の「<」を含む XML を解析する際に発生する DoS (CVE-2024-35176)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2024:4504 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    httpdパッケージにより、強力で効率の良い、拡張可能なWebサーバーである、Apache HTTPサーバーが提供されます。

    セキュリティ修正プログラム:

    * httpd: mod_proxy_uwsgi HTTP 応答分割 (CVE-2023-27522)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2024:4457 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    OpenSSH は SSH プロトコルの実装であり、多数の Linux、UNIX、および類似のオペレーティングシステムによりサポートされています。これには、OpenSSH クライアントとサーバーの両方に必要なコアファイルが含まれています。

    セキュリティ修正プログラム:

    * openssh: Red Hat Enterprise Linux 9 に影響を与えるシグナル処理における競合状態による、リモートコード実行の可能性 (CVE-2024-6409)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:4456 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    Python はインタープリター型、インタラクティブ、オブジェクト指向のプログラミング言語であり、モジュール、クラス、例外、非常に高レベルの動的データタイプ、動的タイプ指定を含みます。Python は、多数のシステムコールやライブラリ、さまざまなウィンドウシステムのインターフェースをサポートしています。

    セキュリティ修正プログラム:

    * python: tempfile.TemporaryDirectory でのパストラバーサル (CVE-2023-6597)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:4462 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    Ghostscript スイートには、PostScript ドキュメントと PDF ドキュメントをレンダリングするためのユーティリティが含まれています。Ghostscript は、コードを表示または印刷できるように PostScript コードを一般的なビットマップ形式に変換します。

    セキュリティ修正プログラム:

    * ghostscript: カスタムドライバーライブラリを介した OPVP デバイスの任意のコード実行 (CVE-2024-33871)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:4408 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

     tpm2-tss パッケージは、Trusted Platform Module (TPM) 2.0 システム API ライブラリの Intel 実装を提供します。このライブラリにより、プログラムが TPM 2.0 デバイスとやり取りできます

    セキュリティ修正プログラム:

    * tpm2-tss: TSS2_RC_Decode でのバッファオーバーフロー (CVE-2023-22745)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2024:4413 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    公開鍵インフラ (PKI) コアには、Red Hat Certificate System に必要な基本パッケージが含まれています。

    セキュリティ修正プログラム:

    * dogtag ca: トークン認証バイパスの脆弱性 (CVE-2023-4727)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:4402 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    PostgreSQL は、高度なオブジェクトリレーショナルデータベース管理システム (DBMS) です。postgresql-jdbc パッケージには、Java プログラムが PostgreSQL データベースにアクセスするために必要な .jar ファイルが含まれています。

    セキュリティ修正プログラム:

    * pgjdbc: PreferQueryMode=SIMPLE を使用している場合、PostgreSQL JDBC ドライバーにより、攻撃者は SQL を注入する可能性があります (CVE-2024-1597)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:4404 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    fence-agents パッケージは、クラスターデバイスのリモート電源管理を処理するためのスクリプトのコレクションを提供します。障害が発生したノードや到達不能なノードを強制的に再起動し、クラスターから削除できます。

    セキュリティ修正プログラム: 

    * jinja2: 非属性文字を含むキーを受け入れます (CVE-2024-34064)

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2024:4419 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    EDK (Embedded Development Kit) は仮想マシンに対する UEFI サポートを可能にするプロジェクトです。このパッケージには、QEMU および KVM 用のサンプル 64 ビット UEFI ファームウェアが含まれています。

    セキュリティ修正プログラム:

    * edk2: DHCPv6 プロキシ Advertise メッセージからのサーバー ID オプションを処理する際のバッファオーバーフロー (CVE-2023-45235)

    * edk2: DHCPv6 アドバタイズメッセージの IA_NA/IA_TA オプションを処理する際の整数アンダーフロー (CVE-2023-45229)

    * edk2: 切り捨てられたオプションで ND リダイレクトメッセージを処理するときの領域外読み取り (CVE-2023-45231)

    * edk2: 予測可能な TCP 初期シーケンス番号 (CVE-2023-45236)

    * edk2: 弱い疑似乱数ジェネレーターの使用 (CVE-2023-45237)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2024:4414 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    fence-agents パッケージは、クラスターデバイスのリモート電源管理を処理するためのスクリプトのコレクションを提供します。障害が発生したノードや到達不能なノードを強制的に再起動し、クラスターから削除できます。

    セキュリティ修正プログラム: 

    * jinja2: 非属性文字を含むキーを受け入れます (CVE-2024-34064)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:4409 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    linux-firmware パッケージには、さまざまなデバイスが動作するために必要なすべてのファームウェアファイルが含まれています。

    セキュリティ修正プログラム:

    * kernel: ゲストメッセージ応答の予約フィールドがゼロ初期化されない可能性があります (CVE-2023-31346)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:4418 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    less ユーティリティはテキストファイルブラウザで、more に似ていますが、ユーザーはファイル内で前方向だけでなく後方向にも移動できます。less は起動時に入力ファイル全体を読み込むわけではないため、通常のテキストエディターよりも素早く起動します。

    セキュリティ修正プログラム:

    * less: OS コマンドインジェクション (CVE-2024-32487)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:4400 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    Booth クラスターチケットマネージャーは、複数のサイトにまたがる高可用性クラスターをブリッジし、特にローカルの Pacemaker クラスターリソースマネージャーに決定入力を提供するコンポーネントです。これは分散コンセンサスベースのサービスとして動作し、通常は別の物理ネットワーク上で運用されます。Booth フォーメーションによって提供されるチケットは、特定のリソースに関連付けられる認可の単位です。これにより、リソースが一度に 1 つの (許可された) サイトでのみ実行されるようにします。

    セキュリティ修正プログラム: 

    * boost: 特別に細工されたハッシュにより、無効な HMAC が Booth サーバーに受け入れられる可能性があります (CVE-2024-3049)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2024:4412 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    kernel-rt パッケージは、リアルタイム Linux カーネルを提供します。これにより、適切に設定することを高度に要求されるシステムの微調整が可能になります。

    セキュリティ修正プログラム:

    * kernel: netfilter: nft_trans_gc_catchall_sync のメモリ解放後使用 (Use After Free) により、権限昇格が引き起こされます (CVE-2024-0193)

    * kernel: smb: client: smb2_parse_contexts() の潜在的な OOB の修正 (CVE-2023-52434)

    * kernel: netfilter: nft_ct: カスタムの期待値で、レイヤー 3 と 4 のプロトコル番号をサニタイズします (CVE-2024-26673)

    バグ修正:

    * kernel-rt: RT ソースツリーを最新の RHEL-9.0.z Batch 18 に更新 (JIRA:RHEL-36756)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:4403 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    公開鍵インフラ (PKI) コアには、Red Hat Certificate System に必要な基本パッケージが含まれています。

    セキュリティ修正プログラム:

    * dogtag ca: トークン認証バイパスの脆弱性 (CVE-2023-4727)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:4417 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    libreswan は Linux 用の IPsec および IKE の実装です。IPsecはインターネットプロトコルセキュリティです。また、強力な暗号を使用して認証および暗号化サービスの両方を提供します。これらのサービスを使用することで、VPN（仮想プライベートネットワーク）のような信頼できないネットワークから安全なトンネルを構築できるようになります。

    セキュリティ修正プログラム:

    * libreswan: IKEv1 デフォルト AH/ESP レスポンダーがクラッシュして再起動する可能性 (CVE-2024-3652)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:4416 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    less ユーティリティはテキストファイルブラウザで、more に似ていますが、ユーザーはファイル内で前方向だけでなく後方向にも移動できます。less は起動時に入力ファイル全体を読み込むわけではないため、通常のテキストエディターよりも素早く起動します。

    セキュリティ修正プログラム:

    * less: OS コマンドインジェクション (CVE-2024-32487)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	深刻度
202322	RHEL 9: poppler (パッチ未適用の脆弱性)	medium
202321	RHEL 9 : pcs (パッチ未適用の脆弱性)	critical
202320	RHEL 8: qemu-kvm (パッチ未適用の脆弱性)	high
202319	RHEL 7: squid (パッチ未適用の脆弱性)	medium
202318	RHEL 8: firefox (パッチ未適用の脆弱性)	medium
202317	RHEL 9 : ghostscript (パッチ未適用の脆弱性)	high
202316	RHEL 8: pcs (パッチ未適用の脆弱性)	critical
202315	RHEL 7: qemu-kvm (パッチ未適用の脆弱性)	high
202314	RHEL 6: qemu-kvm (パッチ未適用の脆弱性)	low
202313	RHEL 8 : poppler (パッチ未適用の脆弱性)	medium
202312	RHEL 7: ipa (パッチ未適用の脆弱性)	medium
202311	RHEL 7: postgresql (パッチ未適用の脆弱性)	medium
202310	RHEL 8 : expat (パッチ未適用の脆弱性)	medium
202309	RHEL 9: firefox (パッチ未適用の脆弱性)	medium
202308	RHEL 8: grafana (パッチ未適用の脆弱性)	high
202307	RHEL 8: ghostscript (パッチ未適用の脆弱性)	high
202306	RHEL 7: expat (パッチ未適用の脆弱性)	high
202303	RHEL 6: io.quarkus_quarkus-core (パッチ未適用の脆弱性)	high
202302	RHEL 6: io.vertx_vertx-core (パッチ未適用の脆弱性)	medium
202301	RHEL 8: ior (パッチ未適用の脆弱性)	medium
202220	RHEL 7 : qemu-kvm-ma (パッチ未適用の脆弱性)	low
202219	RHEL 9 : ceph (パッチ未適用の脆弱性)	high
202218	RHEL 8 : gcc (パッチ未適用の脆弱性)	high
202217	RHEL 8 : ceph (パッチ未適用の脆弱性)	high
202216	RHEL 9: gjs (パッチ未適用の脆弱性)	medium
202215	RHEL 8: gjs (パッチ未適用の脆弱性)	medium
202214	RHEL 6: gjs (パッチ未適用の脆弱性)	medium
202213	RHEL 7 : gcc (パッチ未適用の脆弱性)	high
202211	RHEL 8: helm (パッチ未適用の脆弱性)	high
202210	RHEL 9: helm (パッチ未適用の脆弱性)	high
202209	RHEL 8: guava (パッチ未適用の脆弱性)	low
202208	RHEL 8 : gstreamer-plugins-good (パッチ未適用の脆弱性)	high
202189	RHEL 8 : ruby (RHSA-2024:4499)	medium
202188	RHEL 9 : httpd (RHSA-2024:4504)	high
202158	RHEL 9 : openssh (RHSA-2024:4457)	high
202157	RHEL 8 : python3 (RHSA-2024:4456)	high
202156	RHEL 8 : ghostscript (RHSA-2024:4462)	high
202016	RHEL 8 : tpm2-tss (RHSA-2024:4408)	medium
202015	RHEL 9 : pki-core (RHSA-2024:4413)	high
202014	RHEL 8 : postgresql-jdbc (RHSA-2024:4402)	critical
202013	RHEL 8 : fence-agents の更新 (重要度中) (RHSA-2024:4404)	medium
202012	RHEL 9 : edk2 (RHSA-2024:4419)	high
202011	RHEL 9 : fence-agents (RHSA-2024:4414)	medium
202010	RHEL 8 : linux-firmware (RHSA-2024:4409)	medium
202009	RHEL 8 : less (RHSA-2024:4418)	high
202008	RHEL 8 : booth (RHSA-2024:4400)	medium
202007	RHEL 9 : kernel-rt (RHSA-2024:4412)	high
202006	RHEL 8 : pki-core (RHSA-2024:4403)	high
202005	RHEL 8 : libreswan (RHSA-2024:4417)	medium
202004	RHEL 8 : less (RHSA-2024:4416)	high

検出

Nessus 用の Red Hat Local Security Checks ファミリー

medium

critical

high

medium

medium

high

critical

high

low

medium

medium

medium

medium

medium

high

high

high

high

medium

medium

low

high

high

high

medium

medium

medium

high

high

high

low

high

medium

high

high

high

high

medium

high

critical

medium

high

medium

medium

high

medium

high

high

medium

high