リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:3814 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Apache Tomcat は、Java サーブレットと JavaServer Pages (JSP) 技術のサーブレットコンテナです。

    セキュリティ修正プログラム: 

    * Apache Tomcat: HTTP/2 ヘッダー処理の DoS (CVE-2024-24549)

    * Apache Tomcat: 不完全な終了ハンドシェイクによる WebSocket DoS (CVE-2024-23672)

    バグ修正プログラム:

    * tomcat をバージョン 9.0.87 にリベースします (JIRA:RHEL-34811)

    * 修正された CVE が明示的に言及されるように tomcat パッケージの変更ログを修正します (JIRA:RHEL-37865)

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:3810 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    カーネルパッケージには、Linux オペレーティングシステムのコアである Linux カーネルが含まれています。

    セキュリティ修正プログラム: 

    * kernel: 競合状態による drivers/media/rc/ene_ir.c のメモリ解放後使用 (Use After Free) (CVE-2023-1118)

    * kernel: Spectre v2 SMT 緩和策の問題 (CVE-2023-1998)

    * kernel: __nvmet_req_complete の NULL ポインターデリファレンス (CVE-2023-6536)

    * kernel: nvmet_tcp_execute_request の NULL ポインターデリファレンス (CVE-2023-6535)

    * kernel: nvmet_tcp_build_iovec の NULL ポインターデリファレンス (CVE-2023-6356)

    * kernel: mlxsw: spectrum_acl_tcam: スタック破損の修正 (CVE-2024-26586)

    * kernel: net:emac/emac-mac: emac_mac_tx_buf_send のメモリ解放後使用 (use-after-free) の修正 (CVE-2021-47013)

    * kernel: sched/membarrier: sys_membarrier をオンにする機能を低減します (CVE-2024-26602)

    * kernel: net: bridge: br_handle_frame_finish() の indata-races におけるデータ競合 (CVE-2023-52578)

    * CVE-2024-25743 hw: amd: 終了時に命令が #VC 例外を発生させる (AMD-SN-3008、CVE-2024-25742、CVE-2024-25743)

    * kernel: netfilter: nf_tables: タイムアウトフラグのある匿名セットを許可しません (CVE-2024-26642)

    バグ修正プログラム:

    * 同期チェック中の md raid5 デッドロック (JIRA:RHEL-27235)

    * Upstream コミット 7a22e03b0c02 からのバックポートがないため、NULL ポインターデリファレンスが x2apic_dead_cpu() で発生します (JIRA:RHEL-32733)

    * [RHEL8.8][ltp] vma05 のケースが x86_64 で失敗する (JIRA:RHEL-33448)

    * XFS: FS のフリーズ中にキャッシュが削除されると、解凍操作がハングアップする (JIRA:RHEL-34523)

    * FIPS 整合性テストの一時値はゼロ化する必要があります (JIRA:RHEL-36693)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:3805 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    これはカーネルのライブパッチモジュールで、RPMインストール後スクリプトによって自動的にロードされ、実行中のカーネルのコードを変更します。

    セキュリティ修正プログラム: 

    * kernel: nf_tables: nft_verdict_init() 関数におけるメモリ解放後使用 (Use After Free) の脆弱性 (CVE-2024-1086)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:3795 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    fence-agentsパッケージは、クラスターデバイスのリモート電源管理を処理するためのスクリプトのコレクションを提供します。障害が発生したノードや到達不能なノードを強制的に再起動し、クラスターから削除できます。

    セキュリティ修正プログラム: 

    * jinja2: 非属性文字を含むキーを受け入れます (CVE-2024-34064)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:3775 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat IdM (Identity Management) は、従来型の環境およびクラウドベースのエンタープライズ環境の両方に対する一元化された認証、ID 管理、承認のソリューションです。

    セキュリティ修正プログラム：

    * CVE-2024-3183 freeipa: ユーザーが全ドメインユーザーのパスワードのハッシュを取得し、オフラインでブルートフォースを実行する可能性があります

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:3756 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat IdM (Identity Management) は、従来型の環境およびクラウドベースのエンタープライズ環境の両方に対する一元化された認証、ID 管理、承認のソリューションです。

    セキュリティ修正プログラム：

    * ipa: freeipa: ユーザーが全ドメインユーザーのパスワードのハッシュを取得し、オフラインでブルートフォースを実行する可能性があります (CVE-2024-3183)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2024:3757 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat IdM (Identity Management) は、従来型の環境およびクラウドベースのエンタープライズ環境の両方に対する一元化された認証、ID 管理、承認のソリューションです。

    セキュリティ修正プログラム：

    * freeipa: 委任ルールにより、プロキシサービスが任意のユーザーになりすまして、別のターゲットサービスにアクセスする可能性があります (CVE-2024-2698)
    * freeipa: ユーザーが全ドメインユーザーのパスワードのハッシュを取得し、オフラインでブルートフォースを実行する可能性があります (CVE-2024-3183)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2024:3754 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat IdM (Identity Management) は、従来型の環境およびクラウドベースのエンタープライズ環境の両方に対する一元化された認証、ID 管理、承認のソリューションです。

    セキュリティ修正プログラム：

    * freeipa: 委任ルールにより、プロキシサービスが任意のユーザーになりすまして、別のターゲットサービスにアクセスする可能性があります (CVE-2024-2698)

    * freeipa: ユーザーが全ドメインユーザーのパスワードのハッシュを取得し、オフラインでブルートフォースを実行する可能性があります (CVE-2024-3183)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:3758 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat IdM (Identity Management) は、従来型の環境およびクラウドベースのエンタープライズ環境の両方に対する一元化された認証、ID 管理、承認のソリューションです。

    セキュリティ修正プログラム：

    * freeipa: ユーザーが全ドメインユーザーのパスワードのハッシュを取得し、オフラインでブルートフォースを実行する可能性があります (CVE-2024-3183)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Redhat Enterprise Linux 7 ホストには、RHSA-2024:3760 アドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat IdM (Identity Management) は、従来型の環境およびクラウドベースのエンタープライズ環境の両方に対する一元化された認証、ID 管理、承認のソリューションです。

    セキュリティ修正プログラム：

    * ipa: ユーザーが全ドメインユーザーのパスワードのハッシュを取得し、オフラインでブルートフォースを実行する可能性があります (CVE-2024-3183)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:3759 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat IdM (Identity Management) は、従来型の環境およびクラウドベースのエンタープライズ環境の両方に対する一元化された認証、ID 管理、承認のソリューションです。

    セキュリティ修正プログラム：

    * CVE-2024-2698 freeipa: 委任ルールにより、プロキシサービスが任意のユーザーになりすまして、別のターゲットサービスにアクセスする可能性があります

    * CVE-2024-3183 freeipa: ユーザーが全ドメインユーザーのパスワードのハッシュを取得し、オフラインでブルートフォースを実行する可能性があります

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2024:3761 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat IdM (Identity Management) は、従来型の環境およびクラウドベースのエンタープライズ環境の両方に対する一元化された認証、ID 管理、承認のソリューションです。

    セキュリティ修正プログラム：

    * ipa: freeipa: ユーザーが全ドメインユーザーのパスワードのハッシュを取得し、オフラインでブルートフォースを実行する可能性があります (CVE-2024-3183)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:3763 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    libnghttp2 は、ハイパーテキスト転送プロトコルバージョン 2 (HTTP/2) プロトコルを C で実装するライブラリです。

    セキュリティ修正プログラム：

    * nghttp2: CONTINUATION frames の DoS (CVE-2024-28182、VU#421644.5)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:3755 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat IdM (Identity Management) は、従来型の環境およびクラウドベースのエンタープライズ環境の両方に対する一元化された認証、ID 管理、承認のソリューションです。

    セキュリティ修正プログラム：

    * CVE-2024-2698 freeipa: 委任ルールにより、プロキシサービスが任意のユーザーになりすまして、別のターゲットサービスにアクセスする可能性があります

    * CVE-2024-3183 freeipa: ユーザーが全ドメインユーザーのパスワードのハッシュを取得し、オフラインでブルートフォースを実行する可能性があります

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 7 ホストに、RHSA-2024:3741 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    BIND (Berkeley Internet Name Domain) は、DNS (ドメインネームシステム) プロトコルの実装です。
    BIND には、DNS サーバー (named)、リゾルバーライブラリ (DNS とインターフェース接続する時に使用するアプリケーション用ルーチン)、DNS サーバーが正常動作していることを検証するツールが含まれます。

    Bind-dyndb-ldap は、BIND 用の LDAP バックエンドプラグインを提供します。これは、動的な更新と内部のキャッシングに対するサポートを特色としており、LDAP サーバーで負荷を軽減します。

    DHCP (動的ホスト設定プロトコル) は、IP ネットワーク上の個々のデバイスがIPアドレス、サブネットマスク、ブロードキャストアドレスを含む、それぞれ固有のネットワーク設定情報を取得できるようにするプロトコルです。dhcp パッケージによって、ネットワーク上で DHCP を有効にして管理するために必要なリレーエージェントと ISC DHCP サービスが提供されます。

    セキュリティ修正プログラム：

    * bind: KeyTrap - DNSSEC バリデーターにおける極端な CPU 消費 (CVE-2023-50387)

    * bind: NSEC3 の最も近いエンクローサープルーフを準備すると、CPU リソースを使い果たす可能性があります (CVE-2023-50868)

    * bind: 大きな DNS メッセージの解析により、過剰な CPU 負荷が発生する可能性があります (CVE-2023-4408)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Redhat Enterprise Linux 7 ホストには、脆弱性の影響を受ける 1 つ以上のパッケージがインストールされています。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - booth: 特別に細工されたハッシュにより、無効な HMAC が Booth サーバーに受け入れられる可能性があります (CVE-2024-3049)

Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2024:3671 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Ruby は、拡張可能なインタープリタ型の、オブジェクト指向スクリプト言語です。テキストファイルを処理する機能、およびシステム管理タスクを実行する機能があります。

    次のパッケージが新しいアップストリームバージョンにアップデートされました。ruby (3.3)。(RHEL-37697)

    セキュリティ修正プログラム：

    * ruby: StringIO におけるバッファオーバーリードの脆弱性 (CVE-2024-27280)

    * ruby: RDoc における .rdoc_options による RCE 脆弱性 (CVE-2024-27281)

    * ruby: Regex 検索での任意のメモリアドレス読み取りの脆弱性 (CVE-2024-27282)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:3701 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    libnghttp2 は、ハイパーテキスト転送プロトコルバージョン 2 (HTTP/2) プロトコルを C で実装するライブラリです。

    セキュリティ修正プログラム：

    * nghttp2: CONTINUATION frames の DoS (CVE-2024-28182、VU#421644.5)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:3685 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    IBM Java SE バージョン 8 には、IBM Java Runtime Environment と IBM Java ソフトウェア開発キットが含まれています。

    この更新プログラムで、IBM Java SE 8 がバージョン 8 SR8-FP15 にアップグレードされます。

    セキュリティ修正プログラム：

    * IBM JDK: オブジェクトリクエストブローカー (ORB) のサービス拒否 (CVE-2023-38264)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:3670 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Ruby は、拡張可能なインタープリタ型の、オブジェクト指向スクリプト言語です。テキストファイルを処理する機能、およびシステム管理タスクを実行する機能があります。

    次のパッケージが新しいアップストリームバージョンにアップデートされました。ruby (3.3)。(RHEL-37446)

    セキュリティ修正プログラム：

    * ruby: StringIO におけるバッファオーバーリードの脆弱性 (CVE-2024-27280)

    * ruby: RDoc における .rdoc_options による RCE 脆弱性 (CVE-2024-27281)

    * ruby: Regex 検索での任意のメモリアドレス読み取りの脆弱性 (CVE-2024-27282)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:3659 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    Booth クラスターチケットマネージャーは、複数のサイトにまたがる高可用性クラスターをブリッジし、特にローカルの Pacemaker クラスターリソースマネージャーに決定入力を提供するコンポーネントです。これは分散コンセンサスベースのサービスとして動作し、通常は別の物理ネットワーク上で運用されます。Booth フォーメーションによって提供されるチケットは、特定のリソースに関連付けられる認可の単位です。これにより、リソースが一度に 1 つの (許可された) サイトでのみ実行されるようにします。

    セキュリティ修正プログラム: 

    * boost: 特別に細工されたハッシュにより、無効な HMAC が Booth サーバーに受け入れられる可能性があります (CVE-2024-3049)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:3667 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    Cockpit を使用すると、ユーザーは Web ブラウザで GNU/Linux サーバーを管理できます。これには、ネットワーク設定、ログ検査、診断レポート、SELinux トラブルシューティング、対話型コマンドラインセッションなどの機能があります。

    セキュリティ修正プログラム：

    * cockpit: 細工された名前のある sosreport を削除する際のコマンドインジェクション (CVE-2024-2947)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Redhat Enterprise Linux 7 ホストに、RHSA-2024:3669 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    less ユーティリティはテキストファイルブラウザで、more に似ていますが、ユーザーはファイル内で前方向だけでなく後方向にも移動できます。less は起動時に入力ファイル全体を読み込むわけではないため、通常のテキストエディターよりも素早く起動します。

    セキュリティ修正プログラム：

    * less: OS コマンドインジェクション (CVE-2024-32487)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2024:3665 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    libnghttp2 は、ハイパーテキスト転送プロトコルバージョン 2 (HTTP/2) プロトコルを C で実装するライブラリです。

    セキュリティ修正プログラム：

    * nghttp2: CONTINUATION frames の DoS (CVE-2024-28182、VU#421644.5)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2024:3661 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    Booth クラスターチケットマネージャーは、複数のサイトにまたがる高可用性クラスターをブリッジし、特にローカルの Pacemaker クラスターリソースマネージャーに決定入力を提供するコンポーネントです。これは分散コンセンサスベースのサービスとして動作し、通常は別の物理ネットワーク上で運用されます。Booth フォーメーションによって提供されるチケットは、特定のリソースに関連付けられる認可の単位です。これにより、リソースが一度に 1 つの (許可された) サイトでのみ実行されるようにします。

    セキュリティ修正プログラム: 

    * boost: 特別に細工されたハッシュにより、無効な HMAC が Booth サーバーに受け入れられる可能性があります (CVE-2024-3049)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:3657 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    Booth クラスターチケットマネージャーは、複数のサイトにまたがる高可用性クラスターをブリッジし、特にローカルの Pacemaker クラスターリソースマネージャーに決定入力を提供するコンポーネントです。これは分散コンセンサスベースのサービスとして動作し、通常は別の物理ネットワーク上で運用されます。Booth フォーメーションによって提供されるチケットは、特定のリソースに関連付けられる認可の単位です。これにより、リソースが一度に 1 つの (許可された) サイトでのみ実行されるようにします。

    セキュリティ修正プログラム: 

    * boost: 特別に細工されたハッシュにより、無効な HMAC が Booth サーバーに受け入れられる可能性があります (CVE-2024-3049)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:3666 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Apache Tomcat は、Java サーブレットと JavaServer Pages (JSP) 技術のサーブレットコンテナです。

    セキュリティ修正プログラム：

    * Apache Tomcat: HTTP/2 ヘッダー処理の DoS (CVE-2024-24549)

    * Apache Tomcat: 不完全な終了ハンドシェイクによる WebSocket DoS (CVE-2024-23672)

    バグ修正プログラム:

    * tomcat をバージョン 9.0.87 にリベースします (JIRA:RHEL-35813)

    * 修正された CVE が明示的に言及されるように tomcat パッケージの変更ログを修正します (JIRA:RHEL-38548)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:3658 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    Booth クラスターチケットマネージャーは、複数のサイトにまたがる高可用性クラスターをブリッジし、特にローカルの Pacemaker クラスターリソースマネージャーに決定入力を提供するコンポーネントです。これは分散コンセンサスベースのサービスとして動作し、通常は別の物理ネットワーク上で運用されます。Booth フォーメーションによって提供されるチケットは、特定のリソースに関連付けられる認可の単位です。これにより、リソースが一度に 1 つの (許可された) サイトでのみ実行されるようにします。

    セキュリティ修正プログラム: 

    * boost: 特別に細工されたハッシュにより、無効な HMAC が Booth サーバーに受け入れられる可能性があります (CVE-2024-3049)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2024:3660 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    Booth クラスターチケットマネージャーは、複数のサイトにまたがる高可用性クラスターをブリッジし、特にローカルの Pacemaker クラスターリソースマネージャーに決定入力を提供するコンポーネントです。これは分散コンセンサスベースのサービスとして動作し、通常は別の物理ネットワーク上で運用されます。Booth フォーメーションによって提供されるチケットは、特定のリソースに関連付けられる認可の単位です。これにより、リソースが一度に 1 つの (許可された) サイトでのみ実行されるようにします。

    セキュリティ修正プログラム: 

    * boost: 特別に細工されたハッシュにより、無効な HMAC が Booth サーバーに受け入れられる可能性があります (CVE-2024-3049)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2024:3668 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Ruby は、拡張可能なインタープリタ型の、オブジェクト指向スクリプト言語です。テキストファイルを処理する機能、およびシステム管理タスクを実行する機能があります。

    次のパッケージが新しいアップストリームバージョンにアップデートされました。ruby (3.1)。(RHEL-35449)

    セキュリティ修正プログラム：

    * ruby: StringIO におけるバッファオーバーリードの脆弱性 (CVE-2024-27280)

    * ruby: RDoc における .rdoc_options による RCE 脆弱性 (CVE-2024-27281)

    * ruby: Regex 検索での任意のメモリアドレス読み取りの脆弱性 (CVE-2024-27282)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 / 9 ホストに、RHSA-2024:3496 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat OpenShift Container Platform は、オンプレミスまたはプライベートクラウド展開用に設計された、Red Hat のクラウドコンピューティング Kubernetes アプリケーションプラットフォームソリューションです。

    このアドバイザリには、Red Hat OpenShift Container Platform 4.13.43のRPMパッケージが含まれています。このリリースのコンテナイメージについては、次のアドバイザリを参照してください。

    https://access.redhat.com/errata/RHSA-2024:3494

    セキュリティ修正プログラム：

    * cri-o: pod アノテーションによる任意のコマンドインジェクション (CVE-2024-3154)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

    すべての OpenShift Container Platform 4.13 ユーザーは、適切なリリースチャネルで利用可能な場合に、これらの更新済みパッケージとイメージにアップグレードすることが推奨されます。利用可能な更新をチェックするには、OpenShift CLI (oc) または Web コンソールを使用します。クラスターのアップグレード手順については、https://docs.openshift.com/container-platform/4.13/updating/updating-cluster-cli.html を参照してください

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2024:3625 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    libxml2 ライブラリは、各種 XML 規格の実装を提供する開発ツールボックスです。

    セキュリティ修正プログラム：

    * libxml2: XMLReader におけるメモリ解放後使用 (Use After Free) (CVE-2024-25062)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:3635 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Jenkins は、ソフトウェアビルドや cron ジョブなどの定期的なジョブの実行を監視する継続的統合サーバーです。

    セキュリティの修正: 

    * jenkins-2-plugins: Git-server プラグインに存在する任意のファイル読み取りの脆弱性 (CVE-2024-23899)

    * jenkins-plugin/script-security: 細工されたコンストラクター本体を介してサンドボックスバイパスが発生する (CVE-2024-34144)

    * jenkins-plugin/script-security: サンドボックスで定義されたクラスを介してサンドボックスバイパスが発生する (CVE-2024-34145)

    * jenkins-2-plugins: HTML Publisher プラグインに不適切な入力サニタイズが存在する (CVE-2024-28149)

    * Jetty: 有効なクライアントからの新規接続を受け付けない (CVE-2024-22201)

    * SSH: バイナリパケットプロトコル (BPP) に対するプレフィックス切り捨て攻撃 (CVE-2023-48795)

    - golang-protobuf: protojson.Unmarshal 関数で特定の形式の無効な JSON をアンマーシャリングした際に、Golang-protobuf の encoding/protojson および internal/encoding/json パッケージで無限ループが発生する (CVE-2024-24786)

    * jenkins-2-plugins: Matrix-project プラグインに存在する、パストラバーサルの脆弱性 (CVE-2024-23900)

    これらの影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:3626 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    libxml2 ライブラリは、各種 XML 規格の実装を提供する開発ツールボックスです。

    セキュリティ修正プログラム：

    * libxml2: XMLReader におけるメモリ解放後使用 (Use After Free) (CVE-2024-25062)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:3636 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Jenkins は、ソフトウェアビルドや cron ジョブなどの定期的なジョブの実行を監視する継続的統合サーバーです。

    セキュリティの修正: 

    * jenkins-2-plugins: Git-server プラグインに存在する任意のファイル読み取りの脆弱性 (CVE-2024-23899)

    * jenkins-plugin/script-security: 細工されたコンストラクター本体を介してサンドボックスバイパスが発生する (CVE-2024-34144)

    * jenkins-plugin/script-security: サンドボックスで定義されたクラスを介してサンドボックスバイパスが発生する (CVE-2024-34145)

    * jenkins-2-plugins: HTML Publisher プラグインに不適切な入力サニタイズが存在する (CVE-2024-28149)

    * jetty: 有効なクライアントからの新規接続を受け付けない (CVE-2024-22201)

    * SSH: バイナリパケットプロトコル (BPP) に対するプレフィックス切り捨て攻撃 (CVE-2023-48795)

    - golang-protobuf: protojson.Unmarshal 関数で特定の形式の無効な JSON をアンマーシャリングした際に、Golang-protobuf の encoding/protojson および internal/encoding/json パッケージで無限ループが発生するします。(CVE-2024-24786)

    * jenkins-2-plugins: Matrix-project プラグインに存在する、パストラバーサルの脆弱性 (CVE-2024-23900)

    これらの影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:3634 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Jenkins は、ソフトウェアビルドや cron ジョブなどの定期的なジョブの実行を監視する継続的統合サーバーです。

    セキュリティの修正: 

    * jenkins-2-plugins: Git-server プラグインに存在する任意のファイル読み取りの脆弱性 (CVE-2024-23899)

    * jenkins-plugin/script-security: 細工されたコンストラクター本体を介してサンドボックスバイパスが発生する (CVE-2024-34144)

    * jenkins-plugin/script-security: サンドボックスで定義されたクラスを介してサンドボックスバイパスが発生する (CVE-2024-34145)

    * jenkins-2-plugins: HTML Publisher プラグインに不適切な入力サニタイズが存在する (CVE-2024-28149)

    * jetty: 有効なクライアントからの新規接続を受け付けない (CVE-2024-22201)

    * SSH: バイナリパケットプロトコル (BPP) に対するプレフィックス切り捨て攻撃 (CVE-2023-48795)

    - golang-protobuf: protojson.Unmarshal 関数で特定の形式の無効な JSON をアンマーシャリングした際に、Golang-protobuf の encoding/protojson および internal/encoding/json パッケージで無限ループが発生する (CVE-2024-24786)

    * jenkins-2-plugins: Matrix-project プラグインに存在する、パストラバーサルの脆弱性 (CVE-2024-23900)

    これらの影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:3627 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    kernel-rt パッケージは、リアルタイム Linux カーネルを提供します。これにより、適切に設定することを高度に要求されるシステムの微調整が可能になります。

    セキュリティ修正プログラム：

    * kernel: RSA 復号化オペレーションにおける Marvin 脆弱性サイドチャネル漏洩 (CVE-2023-6240)

    * kernel: vhost/vhost.c:vhost_new_msg() における情報漏洩 (CVE-2024-0340)

    * kernel: 信頼できない VMM が int80 syscall 処理をトリガーする可能性 (CVE-2024-25744)

    * kernel: i2c: i801: ブロックプロセス呼び出しトランザクションの修正 (CVE-2024-26593)

    * kernel: pvrusb2: コンテキスト切断時のメモリ解放後使用 (Use After Free) を修正（CVE-2023-52445）

    * kernel: x86/fpu: 永久ループを引き起こす xsave バッファでの障害発生に関する情報のユーザー空間への依存を停止 (CVE-2024-26603)

    * kernel: i2c でのメモリ解放後使用 (Use After Free) (CVE-2019-25162)

    * kernel: i2c: compat ioctl でユーザーデータを検証 (CVE-2021-46934)

    * kernel: media: dvbdev: dvb_media_device_free() のメモリリークを修正 (CVE-2020-36777)

    * kernel: usb: hub: 初期化されていない BOS 記述子へのアクセスに対する保護 (CVE-2023-52477)

    * kernel: mtd: ロックおよび不良ブロック ioctl には書き込み権限が必要です (CVE-2021-47055)

    * kernel: net/smc: SMC-D 接続ダンプの不正な rmb_desc アクセスを修正します (CVE-2024-26615)

    * kernel: vt: バッファ内の char を削除する際のメモリ重複を修正します (CVE-2022-48627)

    * kernel: raid5_cache_count の整数オーバーフロー (CVE-2024-23307)

    * kernel: media: uvcvideo: uvc_query_v4l2_menu() の領域外読み取り (CVE-2023-52565)

    * kernel: net: bridge: br_handle_frame_finish() の indata-races におけるデータ競合 (CVE-2023-52578)

    * kernel: net: usb: smsc75xx: __smsc75xx_read_reg の初期化されていない値のアクセスを修正 (CVE-2023-52528)

    * kernel: platform/x86: think-lmi: 参照漏洩の修正 (CVE-2023-52520)

    * kernel: RDMA/siw: 接続エラーの処理を修正します (CVE-2023-52513)

    * kernel: pid: 「cad_pid」を初期化する際に参照を取得します (CVE-2021-47118)

    * kernel: net/sched: act_ct: ooo frags の skb 漏洩とクラッシュの修正 (CVE-2023-52610)

    * kernel: netfilter: nf_tables: タイムアウトのある匿名のセットのバインドを解除する際に、セットをデッドとしてマークします (CVE-2024-26643)

    * kernel: netfilter: nf_tables: タイムアウトフラグのある匿名セットを許可しません (CVE-2024-26642)

    * kernel: i2c: i801: バスリセットで割り込みを生成しません (CVE-2021-47153)

    * kernel: xhci: isoc Babble およびバッファオーバーランイベントを適切に処理します (CVE-2024-26659)

    * kernel: hwmon: (coretemp) 領域外メモリアクセスを修正します (CVE-2024-26664)

    * kernel: wifi: mac80211: fast-xmit 有効時の競合状態を修正 (CVE-2024-26779)

    * kernel: RDMA/srpt: srpt_service_guid パラメーターの指定をサポートします (CVE-2024-26744)

    * カーネル:RDMA/qedr：qedr_create_user_qp のエラーフローを修正します（CVE-2024-26743）

    * kernel: tty: tty_buffer: flush_to_ldisc における softlockup 問題を修正します (CVE-2021-47185)

    * kernel: do_sys_name_to_handle(): kzalloc() を使用して、kernel-infoleak を修正します (CVE-2024-26901)

    * kernel: RDMA/srpt: srpt デバイスが完全にセットアップされるまでイベントハンドラーを登録しません (CVE-2024-26872)

    * kernel: usb: ulpi: debugfs ディレクトリ漏洩を修正します (CVE-2024-26919)

    * kernel: usb: xhci: xhci_map_urb_for_dma にエラー処理を追加します (CVE-2024-26964)

    * kernel: USB: core: usb_deauthorize_interface() のデッドロックを修正します (CVE-2024-26934)

    * kernel: USB: core: sysfs 属性を無効にするポートのデッドロックを修正します (CVE-2024-26933)

    * kernel: fs: sysfs: sysfs_break_active_protection() の参照漏洩の修正 (CVE-2024-26993)

    * kernel: fat: 古いファイルハンドルの初期化されていないフィールドを修正します (CVE-2024-26973)

    * kernel: USB: usb-storage: isd200_ata_command での divide-by-0 エラーを防止します (CVE-2024-27059)

    バグ修正プログラム:

    * kernel-rt: RT ソースツリーを最新の RHEL-8.10.z kernel に更新 (JIRA:RHEL-34640)

    * kernel-rt: epoll_wait がアプリケーションにすべてのイベントをキャッチしたことを報告しない (JIRA:RHEL-23022)

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:3618 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    カーネルパッケージには、Linux オペレーティングシステムのコアである Linux カーネルが含まれています。

    セキュリティ修正プログラム：

    * kernel: RSA 復号化オペレーションにおける Marvin 脆弱性サイドチャネル漏洩 (CVE-2023-6240)

    * kernel: vhost/vhost.c:vhost_new_msg() における情報漏洩 (CVE-2024-0340)

    * kernel: 信頼できない VMM が int80 syscall 処理をトリガーする可能性 (CVE-2024-25744)

    * kernel: i2c: i801: ブロックプロセス呼び出しトランザクションの修正 (CVE-2024-26593)

    * kernel: pvrusb2: コンテキスト切断時のメモリ解放後使用 (Use After Free) を修正（CVE-2023-52445）

    * kernel: x86/fpu: 永久ループを引き起こす xsave バッファでの障害発生に関する情報のユーザー空間への依存を停止 (CVE-2024-26603)

    * kernel: i2c でのメモリ解放後使用 (Use After Free) (CVE-2019-25162)

    * kernel: i2c: compat ioctl でユーザーデータを検証 (CVE-2021-46934)

    * kernel: media: dvbdev: dvb_media_device_free() のメモリリークを修正 (CVE-2020-36777)

    * kernel: usb: hub: 初期化されていない BOS 記述子へのアクセスに対する保護 (CVE-2023-52477)

    * kernel: mtd: ロックおよび不良ブロック ioctl には書き込み権限が必要です (CVE-2021-47055)

    * kernel: net/smc: SMC-D 接続ダンプの不正な rmb_desc アクセスを修正します (CVE-2024-26615)

    * kernel: vt: バッファ内の char を削除する際のメモリ重複を修正します (CVE-2022-48627)

    * kernel: raid5_cache_count の整数オーバーフロー (CVE-2024-23307)

    * kernel: media: uvcvideo: uvc_query_v4l2_menu() の領域外読み取り (CVE-2023-52565)

    * kernel: net: bridge: br_handle_frame_finish() の indata-races におけるデータ競合 (CVE-2023-52578)

    * kernel: net: usb: smsc75xx: __smsc75xx_read_reg の初期化されていない値のアクセスを修正 (CVE-2023-52528)

    * kernel: platform/x86: think-lmi: 参照漏洩の修正 (CVE-2023-52520)

    * kernel: RDMA/siw: 接続エラーの処理を修正します (CVE-2023-52513)

    * kernel: pid: 「cad_pid」を初期化する際に参照を取得します (CVE-2021-47118)

    * kernel: net/sched: act_ct: ooo frags の skb 漏洩とクラッシュの修正 (CVE-2023-52610)

    * kernel: netfilter: nf_tables: タイムアウトのある匿名のセットのバインドを解除する際に、セットをデッドとしてマークします (CVE-2024-26643)

    * kernel: netfilter: nf_tables: タイムアウトフラグのある匿名セットを許可しません (CVE-2024-26642)

    * kernel: i2c: i801: バスリセットで割り込みを生成しません (CVE-2021-47153)

    * kernel: xhci: isoc Babble およびバッファオーバーランイベントを適切に処理します (CVE-2024-26659)

    * kernel: hwmon: (coretemp) 領域外メモリアクセスを修正します (CVE-2024-26664)

    * kernel: wifi: mac80211: fast-xmit 有効時の競合状態を修正 (CVE-2024-26779)

    * kernel: RDMA/srpt: srpt_service_guid パラメーターの指定をサポートします (CVE-2024-26744)

    * カーネル:RDMA/qedr：qedr_create_user_qp のエラーフローを修正します（CVE-2024-26743）

    * kernel: tty: tty_buffer: flush_to_ldisc における softlockup 問題を修正します (CVE-2021-47185)

    * kernel: do_sys_name_to_handle(): kzalloc() を使用して、kernel-infoleak を修正します (CVE-2024-26901)

    * kernel: RDMA/srpt: srpt デバイスが完全にセットアップされるまでイベントハンドラーを登録しません (CVE-2024-26872)

    * kernel: usb: ulpi: debugfs ディレクトリ漏洩を修正します (CVE-2024-26919)

    * kernel: usb: xhci: xhci_map_urb_for_dma にエラー処理を追加します (CVE-2024-26964)

    * kernel: USB: core: usb_deauthorize_interface() のデッドロックを修正します (CVE-2024-26934)

    * kernel: USB: core: sysfs 属性を無効にするポートのデッドロックを修正します (CVE-2024-26933)

    * kernel: fs: sysfs: sysfs_break_active_protection() の参照漏洩の修正 (CVE-2024-26993)

    * kernel: fat: 古いファイルハンドルの初期化されていないフィールドを修正します (CVE-2024-26973)

    * kernel: USB: usb-storage: isd200_ata_command での divide-by-0 エラーを防止します (CVE-2024-27059)

    * kernel: net:emac/emac-mac: emac_mac_tx_buf_send のメモリ解放後使用 (use-after-free) の修正 (CVE-2021-47013)

    * kernel: net: usb: smsc75xx_bind のメモリ漏洩を修正します (CVE-2021-47171)

    * kernel: powerpc/pseries: papr_get_attr() の潜在的なメモリリークを修正します (CVE-2022-48669)

    * kernel: uio: uio_open のメモリ解放後使用 (Use After Free) を修正します (CVE-2023-52439)

    * kernel: wifi: ath9k: ath9k_htc_txstatus() の潜在的な array-index-out-of-bounds 読み取りを修正します (CVE-2023-52594)

    * kernel: wifi: rt2x00: ハードウェアリセット時にビーコンキューを再起動 (CVE-2023-52595)

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2024:3619 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    カーネルパッケージには、Linux オペレーティングシステムのコアである Linux カーネルが含まれています。

    セキュリティ修正プログラム：

    * kernel: ipv6: sr: 潜在的なメモリ解放後使用 (use-after-free) および null-ptr-deref の修正 (CVE-2024-26735)

    * kernel: fs: sysfs: sysfs_break_active_protection() の参照漏洩の修正 (CVE-2024-26993)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Redhat Enterprise Linux 8 ホストには、脆弱性の影響を受ける 1 つ以上のパッケージがインストールされています。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - golang: crypto/elliptic: オーバーサイズのスカラーによるパニック (CVE-2022-28327)

Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 7 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは複数の脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - QEMU: msix: mmio 操作中の OOB アクセスが DoS につながる可能性 (CVE-2020-13754)

  - QEMU での Virtio Vring 実装により、ローカル OS ゲストユーザーが、Virtio リングの更新中に vring アライメントの設定を解除することで、サービス拒否 (ゼロ除算エラーと QEMU プロセスクラッシュ) を引き起こす可能性があります。
    (CVE-2017-17381)

  - QEMU 5.0.0 の hw/usb/hcd-ohci.c に、ホストコントローラードライバーから取得した値によるスタックベースのバッファオーバーリードがあります。(CVE-2020-25624)

注意: Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 9 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは複数の脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - golang: encoding/xml: Unmarshal でのスタックの枯渇 (CVE-2022-30633)

  - Go 1.17.12および Go 1.18.4より前の encoding/xml の Decoder.Skip の制御されない再帰により、深くネスト化された XML ドキュメントを介してスタックの枯渇により攻撃者がパニックを引き起こす可能性があります。(CVE-2022-28131)

  - Go 1.17.12 および Go 1.18.4 より前の path/filepath における Glob の制御されない再帰により、攻撃者が、多数のパスセパレーターを含むパスを介して、スタック枯渇によりパニックを引き起こす可能性があります。
    (CVE-2022-30632)

注意: Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 8 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは複数の脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - golang: net/url: JoinPath は、あらゆる状況で相対パスコンポーネントを削除しません (CVE-2022-32190)

  - Go 1.17.12および Go 1.18.4より前の encoding/xml の Decoder.Skip の制御されない再帰により、深くネスト化された XML ドキュメントを介してスタックの枯渇により攻撃者がパニックを引き起こす可能性があります。(CVE-2022-28131)

  - Go 1.17.12 および Go 1.18.4 より前の path/filepath における Glob の制御されない再帰により、攻撃者が、多数のパスセパレーターを含むパスを介して、スタック枯渇によりパニックを引き起こす可能性があります。
    (CVE-2022-30632)

注意: Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 8 ホストには、脆弱性の影響を受ける 1 つ以上のパッケージがインストールされています。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - guava: 安全でない一時ディレクトリの作成 (CVE-2023-2976)

Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 9 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - json5: Parse メソッドによる JSON5 のプロトタイプ汚染 (CVE-2022-46175)

Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 8 ホストには、脆弱性の影響を受ける 1 つ以上のパッケージがインストールされています。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - json5: Parse メソッドによる JSON5 のプロトタイプ汚染 (CVE-2022-46175)

Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 8 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは複数の脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - nodejs-underscore: テンプレート関数による任意のコード実行 (CVE-2021-23358)

  - protobufjs: ユーザー制御の protobuf メッセージを使用したプロトタイプ汚染 (CVE-2023-36665)

  - node-fetch は認証されていないアクターへの機密情報の漏洩に対して脆弱です (CVE-2022-0235)

注意: Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 9 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは複数の脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - grafana: セッションコントロールの失敗により、情報漏洩が発生する可能性があります (CVE-2022-32275)

  - protobufjs: ユーザー制御の protobuf メッセージを使用したプロトタイプ汚染 (CVE-2023-36665)

  - 6.11.3 より前の protobufjs パッケージは、プロトタイプ汚染に対して脆弱です。これにより、攻撃者が、Object.prototype のプロパティを追加/変更する可能性があります。この脆弱性は、複数の方法で発生する可能性があります。1. util.setProperty または ReflectionObject.setParsedOption 関数に信頼できないユーザー入力を提供する場合。2. .proto ファイルを解析/ロードする場合。(CVE-2022-25878)

注意: Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 8 ホストには、脆弱性の影響を受ける 1 つ以上のパッケージがインストールされています。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - golang: encoding/pem: Decode におけるスタックオーバーフローの修正 (CVE-2022-24675)

Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

リモートの Redhat Enterprise Linux 8 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは複数の脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - jdbc-postgresql: プラグインクラスを提供する際の未チェックのクラスインスタンス化 (CVE-2022-21724)

  - バージョン 42.2.5 より前の postgresql-jdbc に脆弱性が見つかりました。ホスト名検証機能がドライバーに提供されていない場合、SSL ファクトリーを提供しても、ホスト名をチェックされない可能性があります。これにより、信頼できる CA によって署名された間違ったホストの証明書を提供することで、中間者攻撃者が信頼されたサーバーになりすます可能性があります。(CVE-2018-10936)

注意: Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

ID	名前	深刻度
200414	RHEL 8 : tomcat (RHSA-2024:3814)	high
200413	RHEL 8 : kernel (RHSA-2024:3810)	high
200332	RHEL 8 : kpatch-patch (RHSA-2024:3805)	high
200331	RHEL 8 : fence-agents (RHSA-2024:3795)	medium
200255	RHEL 8 : idm:DL1 (RHSA-2024:3775)	high
200254	RHEL 8 : idm:DL1 (RHSA-2024:3756)	high
200253	RHEL 9 : ipa (RHSA-2024:3757)	high
200252	RHEL 9 : ipa (RHSA-2024:3754)	high
200251	RHEL 8 : idm:DL1 (RHSA-2024:3758)	high
200250	RHEL 7 : ipa (RHSA-2024:3760)	high
200249	RHEL 8 : idm:DL1 (RHSA-2024:3759)	high
200248	RHEL 9 : ipa (RHSA-2024:3761)	high
200247	RHEL 8 : nghttp2 (RHSA-2024:3763)	medium
200246	RHEL 8 : idm:DL1 (RHSA-2024:3755)	high
200243	RHEL 7 : bind、bind-dyndb-ldap、および dhcp (RHSA-2024:3741)	high
200178	RHEL 7 : booth (パッチ未適用の脆弱性)	medium
200168	RHEL 9 : ruby:3.3 (RHSA-2024:3671)	critical
200167	RHEL 8 : nghttp2 (RHSA-2024:3701)	medium
200166	RHEL 8 : java-1.8.0-ibm (RHSA-2024:3685)	medium
200155	RHEL 8 : ruby:3.3 (RHSA-2024:3670)	critical
200154	RHEL 8 : booth (RHSA-2024:3659)	medium
200153	RHEL 8 : cockpit (RHSA-2024:3667)	high
200152	RHEL 7 : less (RHSA-2024:3669)	high
200151	RHEL 9 : nghttp2 (RHSA-2024:3665)	medium
200150	RHEL 9 : booth (RHSA-2024:3661)	medium
200149	RHEL 8 : booth (RHSA-2024:3657)	medium
200148	RHEL 8 : tomcat (RHSA-2024:3666)	high
200147	RHEL 8 : booth (RHSA-2024:3658)	medium
200146	RHEL 9 : booth (RHSA-2024:3660)	medium
200145	RHEL 9 : ruby:3.1 (RHSA-2024:3668)	critical
200122	RHEL 8 / 9 : OpenShift Container Platform 4.13.43 (RHSA-2024:3496)	high
200121	RHEL 9 : libxml2 (RHSA-2024:3625)	high
200120	RHEL 8 : Red Hat Product OCP Tools 4.12 Openshift Jenkins (RHSA-2024:3635)	medium
200119	RHEL 8 : libxml2 (RHSA-2024:3626)	high
200118	RHEL 8 : Red Hat Product OCP Tools 4.13 OpenShift Jenkins (RHSA-2024:3636)	medium
200117	RHEL 8 : Red Hat Product OCP Tools 4.14 OpenShift Jenkins (RHSA-2024:3634)	medium
200116	RHEL 8 : kernel-rt (RHSA-2024:3627)	high
200106	RHEL 8 : kernel の更新 (重要度中) (RHSA-2024:3618)	high
200105	RHEL 9 : kernel (RHSA-2024:3619)	medium
199880	RHEL 8: ior (パッチ未適用の脆弱性)	high
199674	RHEL 7 : qemu-kvm-ma (パッチ未適用の脆弱性)	medium
199641	RHEL 9: helm (パッチ未適用の脆弱性)	high
199603	RHEL 8: helm (パッチ未適用の脆弱性)	high
199432	RHEL 8: guava (パッチ未適用の脆弱性)	high
199236	RHEL 9: gjs (パッチ未適用の脆弱性)	high
199224	RHEL 8: gjs (パッチ未適用の脆弱性)	high
199102	RHEL 8: grafana (パッチ未適用の脆弱性)	critical
199090	RHEL 9: grafana (パッチ未適用の脆弱性)	critical
198989	RHEL 8 : mcg (パッチ未適用の脆弱性)	high
198936	RHEL 8 : postgresql-jdbc (パッチ未適用の脆弱性)	critical

検出

Nessus 用の Red Hat Local Security Checks ファミリー

high

high

high

medium

high

high

high

high

high

high

high

high

medium

high

high

medium

critical

medium

medium

critical

medium

high

high

medium

medium

medium

high

medium

medium

critical

high

high

medium

high

medium

medium

high

high

medium

high

medium

high

high

high

high

high

critical

critical

high

critical