リモートの Redhat Enterprise Linux 7 / 8 ホストにインストールされているパッケージは、RHSA-2022: 0871 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - CRI-O: kernel.core_pattern カーネルパラメーターの悪用による cri-o での任意コード実行 (CVE-2022-0811)

  - workflow-cps: 細工された SCM コンテンツを通じた OS コマンドの実行 (CVE-2022-25173)

  - workflow-cps-global-lib: 細工された SCM コンテンツを通じた OS コマンドの実行 (CVE-2022-25174)

  - workflow-multibranch: 細工された SCM コンテンツを通じた OS コマンドの実行 (CVE-2022-25175)

  - workflow-cps: パイプライン関連のプラグインがシンボリックリンクに従うか、パス名を制限しない (CVE-2022-25176)

  - workflow-cps-global-lib: パイプライン関連のプラグインがシンボリックリンクに従うか、パス名を制限しない (CVE-2022-25177、CVE-2022-25178)

  - workflow-multibranch: パイプライン関連のプラグインがシンボリックリンクに従うか、パス名を制限しない (CVE-2022-25179)

  - workflow-cps: パスワードパラメーターは、元のビルドの再生されたビルドに含まれています (CVE-2022-25180)

  - workflow-cps-global-lib: サンドボックスバイパスの脆弱性 (CVE-2022-25181、 CVE-2022-25182、 CVE-2022-25183)

  - パイプライン構築ステップ: 公開されたパスワードパラメーターのデフォルト値 (CVE-2022-25184)

  - credentials: jenkins プラグインの蓄積型 XSS の脆弱性 (CVE-2022-29036)

  - subversion：Jenkins サブバージョンプラグインの蓄積型 XSS の脆弱性 (CVE-2022-29046)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの Redhat Enterprise Linux 7 / 8 ホストにインストールされているパッケージは、RHSA-2022: 1620 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - haproxy: set-cookie2 ヘッダーによるサービス拒否 (CVE-2022-0711)

  - workflow-cps: 細工された SCM コンテンツを通じた OS コマンドの実行 (CVE-2022-25173)

  - workflow-cps-global-lib: 細工された SCM コンテンツを通じた OS コマンドの実行 (CVE-2022-25174)

  - workflow-multibranch: 細工された SCM コンテンツを通じた OS コマンドの実行 (CVE-2022-25175)

  - workflow-cps: パイプライン関連のプラグインがシンボリックリンクに従うか、パス名を制限しない (CVE-2022-25176)

  - workflow-cps-global-lib: パイプライン関連のプラグインがシンボリックリンクに従うか、パス名を制限しない (CVE-2022-25177、CVE-2022-25178)

  - workflow-multibranch: パイプライン関連のプラグインがシンボリックリンクに従うか、パス名を制限しない (CVE-2022-25179)

  - workflow-cps: パスワードパラメーターは、元のビルドの再生されたビルドに含まれています (CVE-2022-25180)

  - workflow-cps-global-lib: サンドボックスバイパスの脆弱性 (CVE-2022-25181、 CVE-2022-25182、 CVE-2022-25183)

  - パイプライン構築ステップ: 公開されたパスワードパラメーターのデフォルト値 (CVE-2022-25184)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの Redhat Enterprise Linux 8 ホストにインストールされているパッケージは、RHSA-2022: 1025 アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - workflow-cps: 細工された SCM コンテンツを通じた OS コマンドの実行 (CVE-2022-25173)

  - workflow-cps-global-lib: 細工された SCM コンテンツを通じた OS コマンドの実行 (CVE-2022-25174)

  - workflow-multibranch: 細工された SCM コンテンツを通じた OS コマンドの実行 (CVE-2022-25175)

  - workflow-cps: パイプライン関連のプラグインがシンボリックリンクに従うか、パス名を制限しない (CVE-2022-25176)

  - workflow-cps-global-lib: パイプライン関連のプラグインがシンボリックリンクに従うか、パス名を制限しない (CVE-2022-25177、CVE-2022-25178)

  - workflow-multibranch: パイプライン関連のプラグインがシンボリックリンクに従うか、パス名を制限しない (CVE-2022-25179)

  - workflow-cps: パスワードパラメーターは、元のビルドの再生されたビルドに含まれています (CVE-2022-25180)

  - workflow-cps-global-lib: サンドボックスバイパスの脆弱性 (CVE-2022-25181、 CVE-2022-25182、 CVE-2022-25183)

  - パイプライン構築ステップ：公開されたパスワードパラメーターのデフォルト値 (CVE-2022-25184)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの Redhat Enterprise Linux 8 ホストにインストールされているパッケージは、RHSA-2022: 1248 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - workflow-cps: 細工された SCM コンテンツを通じた OS コマンドの実行 (CVE-2022-25173)

  - workflow-cps-global-lib: 細工された SCM コンテンツを通じた OS コマンドの実行 (CVE-2022-25174)

  - workflow-multibranch: 細工された SCM コンテンツを通じた OS コマンドの実行 (CVE-2022-25175)

  - workflow-cps: パイプライン関連のプラグインがシンボリックリンクに従うか、パス名を制限しない (CVE-2022-25176)

  - workflow-cps-global-lib: パイプライン関連のプラグインがシンボリックリンクに従うか、パス名を制限しない (CVE-2022-25177、CVE-2022-25178)

  - workflow-multibranch: パイプライン関連のプラグインがシンボリックリンクに従うか、パス名を制限しない (CVE-2022-25179)

  - workflow-cps: パスワードパラメーターは、元のビルドの再生されたビルドに含まれています (CVE-2022-25180)

  - workflow-cps-global-lib: サンドボックスバイパスの脆弱性 (CVE-2022-25181、 CVE-2022-25182、 CVE-2022-25183)

  - パイプライン構築ステップ: 公開されたパスワードパラメーターのデフォルト値 (CVE-2022-25184)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモート Web サーバーで実行されている Jenkins Enterprise または Jenkins Operations Center のバージョンは、2.277.43.0.7 より前の 2.277.x、2.303.30.0.6 より前の 2.303.x、および 2.319.3.4より前の 2.xです。そのため、以下を含む複数の脆弱性による影響を受けます:

  - Jenkins パイプライン: Groovy プラグイン 2648.va9433432b33c 以前では、Pipelines のスクリプトファイル (通常は Jenkinsfile) を読み取る際に、異なる SCM に対して同じチェックアウトディレクトリを使用するため、細工された SCM コンテンツを通じて、Item/Configure 権限のある攻撃者がコントローラーで任意の OS コマンドを呼び出す可能性があります。
    (CVE-2022-25173)

  - Jenkins パイプライン: 共有 Groovy Libraries プラグイン 552.vd9cc05b8a2e1 以前では、パイプラインライブラリ向けの異なる SCM に対して同じチェックアウトディレクトリを使用するため、細工された SCM コンテンツを通じて、Item/Configure 権限のある攻撃者がコントローラーで任意の OS コマンドを呼び出す可能性があります。(CVE-2022-25174)

  - Jenkins パイプラインのサンドボックスバイパスの脆弱性: 共有 Groovy Libraries Plugin 552.vd9cc05b8a2e1 以前では、Item/Configure 権限を持つ攻撃者が、グローバルパイプラインライブラリがすでに構成されている場合、特別に細工されたライブラリ名を使用して、Jenkins コントローラー JVM で任意のコードを実行することが可能です。
    (CVE-2022-25182)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの Redhat Enterprise Linux 7 ホストにインストールされているパッケージは、RHSA-2022: 1420アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - xstream：高度に再帰的なコレクションまたはマップを注入すると、DoS が発生する可能性があります (CVE-2021-43859)

  - workflow-cps: 細工された SCM コンテンツを通じた OS コマンドの実行 (CVE-2022-25173)

  - workflow-cps-global-lib: 細工された SCM コンテンツを通じた OS コマンドの実行 (CVE-2022-25174)

  - workflow-multibranch: 細工された SCM コンテンツを通じた OS コマンドの実行 (CVE-2022-25175)

  - workflow-cps: パイプライン関連のプラグインがシンボリックリンクに従うか、パス名を制限しない (CVE-2022-25176)

  - workflow-cps-global-lib: パイプライン関連のプラグインがシンボリックリンクに従うか、パス名を制限しない (CVE-2022-25177、CVE-2022-25178)

  - workflow-multibranch: パイプライン関連のプラグインがシンボリックリンクに従うか、パス名を制限しない (CVE-2022-25179)

  - workflow-cps: パスワードパラメーターは、元のビルドの再生されたビルドに含まれています (CVE-2022-25180)

  - workflow-cps-global-lib: サンドボックスバイパスの脆弱性 (CVE-2022-25181、 CVE-2022-25182、 CVE-2022-25183)

  - パイプライン構築ステップ：公開されたパスワードパラメーターのデフォルト値 (CVE-2022-25184)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモート Redhat Enterprise Linux 8 ホストにインストールされているパッケージは、RHSA-2022: 1021 アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - haproxy：set-cookie2 ヘッダーによるサービス拒否 (CVE-2022-0711)

  - workflow-cps: 細工された SCM コンテンツを通じた OS コマンドの実行 (CVE-2022-25173)

  - workflow-cps-global-lib: 細工された SCM コンテンツを通じた OS コマンドの実行 (CVE-2022-25174)

  - workflow-multibranch: 細工された SCM コンテンツを通じた OS コマンドの実行 (CVE-2022-25175)

  - workflow-cps: パイプライン関連のプラグインがシンボリックリンクに従うか、パス名を制限しない (CVE-2022-25176)

  - workflow-cps-global-lib: パイプライン関連のプラグインがシンボリックリンクに従うか、パス名を制限しない (CVE-2022-25177、CVE-2022-25178)

  - workflow-multibranch: パイプライン関連のプラグインがシンボリックリンクに従うか、パス名を制限しない (CVE-2022-25179)

  - workflow-cps: パスワードパラメーターは、元のビルドの再生されたビルドに含まれています (CVE-2022-25180)

  - workflow-cps-global-lib: サンドボックスバイパスの脆弱性 (CVE-2022-25181、 CVE-2022-25182、 CVE-2022-25183)

  - パイプライン構築ステップ：公開されたパスワードパラメーターのデフォルト値 (CVE-2022-25184)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
159165	RHEL 7/8: OpenShift Container Platform 4.8.35(RHSA-2022: 0871)	Nessus	Red Hat Local Security Checks	2022/3/23	2024/11/7	high
160512	RHEL 7/8: OpenShift Container Platform 4.6.57 パッケージおよび (RHSA-2022: 1620)	Nessus	Red Hat Local Security Checks	2022/5/4	2024/11/7	high
159289	RHEL 8: OpenShift Container Platform 4.10.6(RHSA-2022: 1025)	Nessus	Red Hat Local Security Checks	2022/3/29	2024/11/7	high
159724	RHEL 8: OpenShift Container Platform 4.7.48(RHSA-2022: 1248)	Nessus	Red Hat Local Security Checks	2022/4/13	2024/11/7	high
158690	Jenkins Enterprise and Operations Center 2.277.x< 2.277.43.0.7/ 2.303.x< 2.303.30.0.6/ 2.319.3.4複数の脆弱性 (CloudBees セキュリティアドバイザリ 2022 年 2 月 15 日)	Nessus	CGI abuses	2022/3/8	2024/6/4	high
162138	Jenkins プラグインの複数の脆弱性 (2022 年 2 月 15 日)	Nessus	CGI abuses	2022/6/13	2024/10/3	high
160255	RHEL 7: OpenShift Container Platform 3.11.685(RHSA-2022: 1420)	Nessus	Red Hat Local Security Checks	2022/4/27	2024/11/7	high
159296	RHEL 8 : OpenShift Container Platform 4.9.26(RHSA-2022: 1021)	Nessus	Red Hat Local Security Checks	2022/3/29	2024/11/8	high

検出

プラグインの検索

high

high

high

high

high

high

high

high