新しいRed Hat Single Sign-On 7.3.4パッケージがRed Hat Enterprise Linux 7で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重大度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat Single Sign-On 7.3は、Keycloakプロジェクトに基づいたスタンドアロンのサーバーで、Webアプリケーションとモバイルアプリケーションに認証と標準ベースのシングルサインオン機能を提供します。RHEL 7用Red Hat Single Sign-On 7.3.4のこのリリースはRed Hat Single Sign-On 7.3.3を置き換え、バグ修正および強化を含んでいます。バグ修正や強化の内容は、「参照」でリンクされているリリースノートにドキュメント化されています。セキュリティ修正プログラム：* keycloak：クロスレルムユーザーアクセス認証のバイパス（CVE-2019-14832）* keycloak：アダプタのエンドポイントが任意のURLを介して公開される（CVE-2019-14820）* jackson-databind：多態的型付けの問題により、攻撃者が細工されたJSONメッセージを介してサーバー上の任意のローカルファイルを読み取る可能性があります（CVE-2019-12814）* jackson-databind：デフォルトの型付けを誤って処理することにより、リモートコードの実行が引き起こされる（CVE-2019-14379）* jackson-databind：多態的型付けの問題により、攻撃者がサーバー上の任意のローカルファイルを読み取る可能性があります （CVE-2019-12086）* undertow：末尾のスラッシュがないディレクトリに対するリクエストにおける情報漏えい（CVE-2019-10184）影響、CVSSスコア、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。

新しいRed Hat Single Sign-On 7.3.4パッケージがRed Hat Enterprise Linux 8で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重大度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat Single Sign-On 7.3は、Keycloakプロジェクトに基づいたスタンドアロンのサーバーで、Webアプリケーションとモバイルアプリケーションに認証と標準ベースのシングルサインオン機能を提供します。RHEL 8用Red Hat Single Sign-On 7.3.4のこのリリースはRed Hat Single Sign-On 7.3.3を置き換え、バグ修正および強化を含んでいます。バグ修正や強化の内容は、「参照」でリンクされているリリースノートにドキュメント化されています。セキュリティ修正プログラム：* keycloak：クロスレルムユーザーアクセス認証のバイパス（CVE-2019-14832）* keycloak：アダプタのエンドポイントが任意のURLを介して公開される（CVE-2019-14820）* jackson-databind：多態的型付けの問題により、攻撃者が細工されたJSONメッセージを介してサーバー上の任意のローカルファイルを読み取る可能性があります（CVE-2019-12814）* jackson-databind：デフォルトの型付けを誤って処理することにより、リモートコードの実行が引き起こされる（CVE-2019-14379）* jackson-databind：多態的型付けの問題により、攻撃者がサーバー上の任意のローカルファイルを読み取る可能性があります （CVE-2019-12086）* undertow：末尾のスラッシュがないディレクトリに対するリクエストにおける情報漏えい（CVE-2019-10184）影響、CVSSスコア、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。

Red Hat Enterprise Linux 6用のRed Hat JBoss Enterprise Application Platform 7.2の更新プログラムが利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重要度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat JBoss Enterprise Application Platform 7.2.4のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.2.3に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 7.2.4リリースノート』を参照してください。セキュリティ修正プログラム：* jackson-databind：デフォルトの入力ミス処理により、リモートでコードが実行される可能性があります（CVE-2019-14379）* jackson-databind：logback-coreクラスを多態的な逆シリアル化からブロックできないため、リモートでコードが実行される可能性があります（CVE- 2019-12384）* jackson-databind：多態的なタイピングの問題により、攻撃者が細工されたJSONメッセージを介してサーバー上の任意のローカルファイルを読み取る可能性があります（CVE-2019-12814）* undertow：有効になっている場合に、io.undertow.request.securityのDEBUGログがログファイルに認証情報を漏えいします（CVE-2019-10212）* codehaus：jackson-databindの脆弱性での安全でない逆シリアル化の不完全な修正（CVE-2019-10202）* jackson-databind：ポリモーフィックタイピングの問題により、攻撃者がサーバー上の任意のローカルファイルを読み取る可能性があります（CVE -2019-12086）* undertow：末尾にスラッシュがないディレクトリのリクエストにおける情報漏えい（CVE-2019-10184）

- jackson-databindをバージョン2.9.9.3に更新してください。

  - jackson-coreをバージョン 2.9.9 に更新してください。

  - jackson-annotationsをバージョン2.9.9に更新してください。

  - jackson-bomをバージョン2.9.9に更新してください。

CVE-2019-12086、CVE-2019-12384、CVE-2019-12814、CVE-2019-14379、およびCVE-14439を修正します。

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

- jackson-databindをバージョン2.9.9.3に更新してください。

  - jackson-coreをバージョン 2.9.9 に更新してください。

  - jackson-annotationsをバージョン2.9.9に更新してください。

  - jackson-bomをバージョン2.9.9に更新してください。

CVE-2019-12086、CVE-2019-12384、CVE-2019-12814、CVE-2019-14379、およびCVE-14439を解決します。

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

リモート Redhat Enterprise Linux 6 ホストに、RHSA-2019:3044 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  - undertow: 末尾のスラッシュのないディレクトリのリクエストにおける情報漏洩 (CVE-2019-10184)

  - jackson-databind: 多態的型付けの問題により、攻撃者がサーバー上の任意のローカルファイルを読み取る可能性があります。
    (CVE-2019-12086)

  - jackson-databind: 多態的型付けの問題により、攻撃者が細工された JSON メッセージを介してサーバー上の任意のローカルファイルを読み取る可能性があります。(CVE-2019-12814)

  - jackson-databind: デフォルトの入力ミス処理により、リモートでコードが実行される可能性があります (CVE-2019-14379)

  - keycloak: アダプタのエンドポイントが任意の URL を介して公開されます (CVE-2019-14820)

  - keycloak: クロスレルムユーザーアクセス認証のバイパス (CVE-2019-14832)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

jackson-databindでさらに多くの多態的タイピングの問題が発見されました。
デフォルトのタイピング（グローバルまたは特定のプロパティに対して）が、外部に公開されているJSONエンドポイントに有効になっていて、サービスにはJDOM1.xまたは2.xクラスパスのlogback-core jarがある場合、攻撃者は細工されたJSONメッセージを送信して、サーバー上で任意のローカルファイルを読み取る可能性があります。

Debian 8「Jessie」では、これらの問題はバージョン2.4.2-2+deb8u7で修正されました。

お使いのjackson-databindパッケージをアップグレードすることをお勧めます。

注: Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

リモートの Ubuntu 16.04ESM ホストにインストールされているパッケージは、USN-4813-1のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - FasterXML jackson-databind 2.0.0 から 2.9.5 に、問題が見つかりました。Jackson のデフォルトの型付けを iBatis の gadget クラスとともに使用すると、コンテンツの抜き取りが可能になります。2.7.9.4、2.8.11.2、および 2.9.6 で修正されました。(CVE-2018-11307)

  - FasterXML jackson-databind、2.7.9.42.8.11.2、2.9.6に問題が見つかりました。デフォルトの型付けが (グローバルまたは特定のプロパティに対して) 有効化されており、サービスのクラスパスに (Jodd フレームワークのデータベースアクセス用) Jodd-db jar がある場合、攻撃者は、アクセスする LDAP サービスを追加し、サービスに悪意のあるペイロードを実行させることが可能です。(CVE-2018-12022)

  - FasterXML jackson-databind、2.7.9.42.8.11.2、2.9.6に問題が見つかりました。デフォルトの型付けが (グローバルまたは特定のプロパティに対して) 有効化されており、サービスのクラスパスに Oracle JDBC jar がある場合、攻撃者は、アクセスする LDAP サービスを追加し、サービスに悪意のあるペイロードを実行させることが可能です。(CVE-2018-12023)

  - 2.9.7 より前の FasterXML jackson-databind 2.x では、slf4j-ext クラスの多態的な逆シリアル化をブロックするのに失敗するため、それを悪用してリモートの攻撃者が任意のコードを実行する可能性があります。(CVE-2018-14718)

  - 2.9.7 より前の FasterXML jackson-databind 2.x では、blaze-ds-opt クラスと blaze-ds-core クラスの多態的な逆シリアル化をブロックするのに失敗するため、それを悪用してリモートの攻撃者が任意のコードを実行する可能性があります。
    (CVE-2018-14719)

  - 2.9.7 より前の FasterXML jackson-databind 2.x では、指定していない JDK クラスの多態的な逆シリアル化をブロックするのに失敗するため、それを悪用して攻撃者が外部 XML エンティティ (XXE) 攻撃を実行する可能性があります。
    (CVE-2018-14720)

  - 2.9.7 より前の FasterXML jackson-databind 2.x では、axis2-jaxws クラスの多態的な逆シリアル化をブロックするのに失敗するため、それを悪用してリモートの攻撃者がサーバーサイドリクエストフォージェリ (SSRF) を実行する可能性があります。(CVE-2018-14721)

  - 2.9.8 より前の FasterXML jackson-databind 2.x では、axis2-transport-jms クラスの多態的な逆シリアル化をブロックするのに失敗するため、それを悪用してリモートの攻撃者が詳細不明な影響を及ぼす可能性があります。(CVE-2018-19360)

  - 2.9.8 より前の FasterXML jackson-databind 2.x では、openjpa クラスの多態的な逆シリアル化をブロックするのに失敗するため、それを悪用してリモートの攻撃者が詳細不明な影響を及ぼす可能性があります。(CVE-2018-19361)

  - 2.9.8 より前の FasterXML jackson-databind 2.x では、jboss-common-core クラスの多態的な逆シリアル化をブロックするのに失敗するため、それを悪用してリモートの攻撃者が詳細不明な影響を及ぼす可能性があります。(CVE-2018-19362)

  - 2.9.9 以前の FasterXML jackson-databind 2.x に、多態的型付けの問題が見つかりました。デフォルトの型付け (グローバルにまたは特定のプロパティに対して) が、外部に公開されているJSONエンドポイントに有効になっていて、サービスにはクラスパスのmysql-connector-java jar (8.0.14以前) があり、攻撃者が被害者の到達可能な細工されたMySQLサーバーをホストできる場合、攻撃者は細工されたJSONメッセージを送信して、サーバー上で任意のローカルファイルを読み取る可能性があります。これは、com.mysql.cj.jdbc.admin.MiniAdmin が検証されないことが原因です。(CVE-2019-12086)

  - 2.9.9.1 より前の 2.x の FasterXML jackson-databind では、logback-core クラスの多態的な逆シリアル化をブロックするのに失敗するため、それを悪用して攻撃者がさまざまな影響を与える可能性があります。クラスパスの内容によっては、リモートコードの実行が可能になる場合があります。(CVE-2019-12384)

  - FasterXML jackson-databind 2.x から 2.9.9 に、多態的型付けの問題が見つかりました。デフォルトの型付け (グローバルでまたは特定のプロパティに対して) が、外部に公開されている JSON エンドポイントに有効になっていて、サービスのクラスパスに JDOM 1.x または 2.x がある場合、攻撃者は細工された JSON メッセージを送信して、サーバー上で任意のローカルファイルを読み取る可能性があります。(CVE-2019-12814)

  - 2.9.9.2 より前の FasterXML jackson-databind の SubTypeValidator.java が、ehcache が使用される際に (net.sf.ehcache.transaction.manager.DefaultTransactionManagerLookup のため) デフォルトの型付けを不適切に処理し、リモートコードの実行を引き起こします。(CVE-2019-14379) 

  - 2.9.9.2 以前の FasterXML jackson-databind 2.x に、多態的型付けの問題が見つかりました。これは、外部に公開されている JSON エンドポイントに対してデフォルトの型付けが (グローバルにまたは特定のプロパティに対して) 有効になっており、サービスのクラスパスに logback jar がある場合に発生します。(CVE-2019-14439)

  - 2.9.10 以前の FasterXML jackson-databind に、多態的型付けの問題が見つかりました。これは com.zaxxer.hikari.HikariConfig に関連しています。(CVE-2019-14540)

  - 2.9.10 以前の FasterXML jackson-databind に、多態的型付けの問題が見つかりました。これは com.zaxxer.hikari.HikariDataSource に関連しています。これは、CVE-2019-14540とは異なる脆弱性です。
    (CVE-2019-16335)

  - FasterXML jackson-databind 2.0.0 から 2.9.10 に、多態的型付けの問題が見つかりました。外部に公開されている JSON エンドポイントに対して、デフォルトの型付けが (グローバルに、または特定のプロパティに対して) 有効化されており、サービスのクラスパスに commons-dbcp (1.4) の jar がある場合、攻撃者は、アクセスできる RMI サービスエンドポイントを見つけることができれば、サービスに悪意のあるペイロードを実行させることが可能です。この問題が存在するのは、org.apache.commons.dbcp.datasources.SharedPoolDataSource および org.apache.commons.dbcp.datasources.PerUserPoolDataSource の処理が不適切なためです。(CVE-2019-16942)

  - FasterXML jackson-databind 2.0.0 から 2.9.10 に、多態的型付けの問題が見つかりました。外部に公開されているJSONエンドポイントに対して、デフォルトの型付けが (グローバルに、または特定のプロパティに対して) 有効化されており、サービスのクラスパスにp6spy (3.8.6) のjarがある場合、攻撃者は、アクセスできるRMIサービスエンドポイントを見つけることができれば、サービスに悪意のあるペイロードを実行させることが可能です。この問題は、com.p6spy.engine.spy.P6DataSource の誤った処理に起因します。(CVE-2019-16943)

  - 2.9.10 以前の FasterXML jackson-databind に、多態的型付けの問題が見つかりました。これは、net.sf.ehcache.hibernate.EhcacheJtaTransactionManagerLookup に関連しています。(CVE-2019-17267)

  - FasterXML jackson-databind 2.0.0 から 2.9.10 に、多態的型付けの問題が見つかりました。外部に公開されている JSON エンドポイントに対して、デフォルトの型付けが (グローバルに、または特定のプロパティに対して) 有効化されており、サービスのクラスパスに apache-log4j-extra (バージョン 1.2.x) の jar がある場合、攻撃者は、アクセスできる JNDI サービスを追加し、サービスに悪意のあるペイロードを実行させることが可能です。(CVE-2019-17531)

  - 2.9.10.2 より前の FasterXML jackson-databind 2.x では、特定の net.sf.ehcache ブロッキングがありません。(CVE-2019-20330)

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory (別名 aries.transaction.jms) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-10672)

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、com.caucho.config.types.ResourceRef (別名 caucho-quercus) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-10673)

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、org.aoju.bus.proxy.provider.remoting.RmiProvider (別名 bus-proxy) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-10968)

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、javax.swing.JEditorPane に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-10969)

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、org.apache.activemq.* (別名 activemq-jms、activemq-core、activemq-pool、activemq-pool-jms) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-11111)

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、org.apache.commons.proxy.provider.remoting.RmiProvider (別名 apache/commons-proxy) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。
    (CVE-2020-11112)

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、jorg.apache.openjpa.ee.WASRegistryManagedRuntime (別名 openjpa) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-11113)

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、org.springframework.aop.config.MethodLocatingFactoryBean (別名 spring-aop) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。
    (CVE-2020-11619)

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、org.apache.commons.jelly.impl.Embedded (別名 commons-jelly) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-11620)

  - 2.9.10.5 より前の FasterXML jackson-databind 2.x において、oadd.org.apache.xalan.lib.sql.JNDIConnectionPool (別名 apache/drill) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。
    (CVE-2020-14060)

  - 2.9.10.5 より前の FasterXML jackson-databind 2.x では、oracle.jms.AQjmsQueueConnectionFactory,、oracle.jms.AQjmsXATopicConnectionFactory、oracle.jms.AQjmsTopicConnectionFactory、oracle.jms.AQjmsXAQueueConnectionFactory、および oracle.jms.AQjmsXAConnectionFactory (別名 weblogic/oracle-aqjms) に関連してシリアル化ガジェットとタイピングの間の相互作用が不適切に処理されます。(CVE-2020-14061)

  - 2.9.10.5 より前の FasterXML jackson-databind 2.x において、com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool (別名 xalan2) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。
    (CVE-2020-14062)

  - 2.9.10.5 より前の FasterXML jackson-databind 2.x において、org.jsecurity.realm.jndi.JndiRealmFactory (別名 org.jsecurity) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。(CVE-2020-14195)

  - FasterXML jackson-databind 2.0.0 から 2.9.10.2 には、org.apache.xbean.propertyeditor.JndiConverter で実証されているように、特定の xbean-reflect/JNDI ブロッキングがありません。(CVE-2020-8840)

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig (別名シェーディング hikari-config) に関連して、シリアライズガジェットと型指定の間の相互作用が不適切に処理されています。
    (CVE-2020-9546)

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig (別名 ibatis-sqlmap) に関連して、シリアライズガジェットと型指定の間の相互作が不適切に処理されています。
    (CVE-2020-9547)

  - 2.9.10.4 より前の FasterXML jackson-databind 2.x において、br.com.anteros.dbcp.AnterosDBCPConfig (別名 anteros-core) に関連して、シリアライズガジェットと型付けの間の相互作用が不適切に処理されています。(CVE-2020-9548)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Red Hat Enterprise Linux 7用のRed Hat JBoss Enterprise Application Platform 7.2の更新プログラムが利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重要度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat JBoss Enterprise Application Platform 7.2.4のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.2.3に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 7.2.4リリースノート』を参照してください。セキュリティ修正プログラム：* jackson-databind：デフォルトの入力ミス処理により、リモートでコードが実行される可能性があります（CVE-2019-14379）* jackson-databind：logback-coreクラスを多態的な逆シリアル化からブロックできないため、リモートでコードが実行される可能性があります（CVE- 2019-12384）* jackson-databind：多態的なタイピングの問題により、攻撃者が細工されたJSONメッセージを介してサーバー上の任意のローカルファイルを読み取る可能性があります（CVE-2019-12814）* undertow：有効になっている場合に、io.undertow.request.securityのDEBUGログがログファイルに認証情報を漏えいします（CVE-2019-10212）* codehaus：jackson-databindの脆弱性での安全でない逆シリアル化の不完全な修正（CVE-2019-10202）* jackson-databind：ポリモーフィックタイピングの問題により、攻撃者はサーバー上の任意のローカルファイルを読み取る可能性があります（CVE -2019-12086）* undertow：末尾にスラッシュがないディレクトリのリクエストにおける情報漏えい（CVE-2019-10184）

Red Hat Enterprise Linux 8用のRed Hat JBoss Enterprise Application Platform 7.2の更新プログラムが利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重要度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat JBoss Enterprise Application Platform 7.2.4のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.2.3に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 7.2.4リリースノート』を参照してください。セキュリティ修正プログラム：* jackson-databind：デフォルトの入力ミス処理により、リモートでコードが実行される可能性があります（CVE-2019-14379）* jackson-databind：logback-coreクラスを多態的な逆シリアル化からブロックできないため、リモートでコードが実行される可能性があります（CVE- 2019-12384）* jackson-databind：多態的なタイピングの問題により、攻撃者が細工されたJSONメッセージを介してサーバー上の任意のローカルファイルを読み取る可能性があります（CVE-2019-12814）* undertow：有効になっている場合に、io.undertow.request.securityのDEBUGログがログファイルに認証情報を漏えいします（CVE-2019-10212）* codehaus：jackson-databindの脆弱性での安全でない逆シリアル化の不完全な修正（CVE-2019-10202）* jackson-databind：ポリモーフィックタイピングの問題により、攻撃者はサーバー上の任意のローカルファイルを読み取る可能性があります（CVE -2019-12086）* undertow：末尾にスラッシュがないディレクトリのリクエストにおける情報漏えい（CVE-2019-10184）

ID	名前	製品	ファミリー	公開日	更新日	深刻度
129864	RHEL 7：Red Hat Single Sign-On 7.3.4（RHSA-2019:3045）	Nessus	Red Hat Local Security Checks	2019/10/15	2024/6/3	critical
129865	RHEL 8：Red Hat Single Sign-On 7.3.4（RHSA-2019:3046）	Nessus	Red Hat Local Security Checks	2019/10/15	2024/6/3	critical
129516	RHEL 6：JBoss EAP（RHSA-2019:2935）	Nessus	Red Hat Local Security Checks	2019/10/2	2024/6/3	critical
129634	Fedora 31：jackson-annotations/jackson-bom/jackson-core/jackson-databind（2019-99ff6aa32c）	Nessus	Fedora Local Security Checks	2019/10/7	2024/4/19	critical
129110	Fedora 30：jackson-annotations/jackson-bom/jackson-core/jackson-databind（2019-ae6a703b8f）	Nessus	Fedora Local Security Checks	2019/9/23	2024/4/24	critical
129113	Fedora 29：jackson-annotations/jackson-bom/jackson-core/jackson-databind（2019-fb23eccc03）	Nessus	Fedora Local Security Checks	2019/9/23	2024/4/24	critical
129863	RHEL 6 : RHEL 6 における Red Hat Single Sign-On 7.3.4 のセキュリティ更新 (重要度高) (RHSA-2019:3044)	Nessus	Red Hat Local Security Checks	2019/10/15	2024/6/3	critical
126126	DebianDLA-1831-1: jackson-databindのセキュリティ更新プログラム	Nessus	Debian Local Security Checks	2019/6/24	2024/5/15	medium
183541	Ubuntu 16.04 ESM: Jackson Databind の脆弱性 (USN-4813-1)	Nessus	Ubuntu Local Security Checks	2023/10/20	2023/10/21	critical
129517	RHEL 7：JBoss EAP（RHSA-2019:2936）	Nessus	Red Hat Local Security Checks	2019/10/2	2024/6/3	critical
129518	RHEL 8：JBoss EAP（RHSA-2019:2937）	Nessus	Red Hat Local Security Checks	2019/10/2	2024/6/3	critical

検出

プラグインの検索

critical

critical

critical

critical

critical

critical

critical

medium

critical

critical

critical