リモート Redhat Enterprise Linux 8 / 9 ホストに、RHSA-2024:1057 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  - pygments: pygments での ReDoS (CVE-2022-40896)

  - python-pillow: ImageDraw インスタンスの textlength が長いテキスト引数で動作するときの制御されないリソース消費 (CVE-2023-44271)

  - python-aiohttp: ヘッダー解析に関する HTTP パーサーにおける多数の問題 (CVE-2023-47627)

  - aiohttp: HTTP リクエストの変更 (CVE-2023-49081)

  - aiohttp: ユーザーが aiohttp クライアントを使用して HTTP メソッドをコントロールする場合の CRLF インジェクション (CVE-2023-49082)

  - pycryptodome: PyCryptodome および pycryptodomex における OAEP 復号化のサイドチャネル漏洩 (CVE-2023-52323)

  - ansible 自動化プラットフォーム: EDA サーバーとのやり取りの際に使用される安全でない websocket (CVE-2024-1657)

  - jinja2: ユーザー入力を xmlattr フィルターへのキーとして渡す際の HTML 属性インジェクション (CVE-2024-22195)

  - Django: 「intcomma」テンプレートフィルターでのサービス拒否 (CVE-2024-24680)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - SmithyLexer によって 2.15.0 までの pygments の pygments/lexers/smithy.py で ReDoS の問題が発見されました。
    (CVE-2022-40896)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:2010 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

    セキュリティの修正: 
    * python-pygments: pygments での ReDoS (CVE-2022-40896)
    * python-pycryptodomex: PyCryptodome および pycryptodomex における OAEP 復号化のサイドチャネル漏洩 (CVE-2023-52323)
    * satellite: satellite 内の演算子オーバーフロー (CVE-2023-4320)
    * automation-hub: Ansible Automation Hub: galaxy-importer の安全でない tarfile の抽出 (CVE-2023-5189)
    * jetty: CgiServlet のユーザー入力への引用符の不適切な追加 (CVE-2023-36479)
    * python-aiohttp: llhttp HTTP リクエストパーサーを介した HTTP リクエストのスマグリング (CVE-2023-37276)
    * rubygem-activesupport: ローカルで暗号化されたファイルのファイル開示 (CVE-2023-38037)
    * jetty: HTTP/1 content-length の不適切な検証 (CVE-2023-40167)
    * python-django:「django.utils.encoding.uri_to_iri()」での潜在的なサービス拒否の脆弱性 (CVE-2023-41164)
    * python-django: django.utils.text.Truncator でのサービス拒否の可能性 (CVE-2023-43665)
    * python-aiohttp: ヘッダー解析に関する HTTP パーサーにおける多数の問題 (CVE-2023-47627)
    * python-aiohttp: HTTP リクエストの変更 (CVE-2023-49081)
    * python-aiohttp: ユーザーが aiohttp クライアントを使用して HTTP メソッドをコントロールする場合の CRLF インジェクション (CVE-2023-49082)
    * rubygem-puma: チャンク転送エンコーディング本体を解析する際の HTTP リクエストスマグリング (CVE-2024-21647)
    * rubygem-audited: 競合状態によって、誤って間違ったユーザーに起因すると見なされた監査ログが発生する可能性があります (CVE-2024-22047)
    * python-jinja2: ユーザー入力を xmlattr フィルターへのキーとして渡す際の HTML 属性インジェクション (CVE-2024-22195)
    * python-aiohttp: follow_symlinks のディレクトリトラバーサルの脆弱性 (CVE-2024-23334)
    * python-aiohttp: HTTP リクエストのスマグリング (CVE-2024-23829)

    追加の変更
    この更新プログラムでは複数のバグが修正され、さまざまな拡張機能が追加されます。

    これらの変更に関するドキュメントは、「参照」セクションにリンクされているリリースノートのドキュメントから入手できます。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストにインストールされている Oracle データベースサーバーのバージョンは、2023 年 10 月の CPU アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Oracle Database Server の Oracle Spatial および Graph (cURL) コンポーネントの脆弱性。サポートされているバージョンで影響を受けるのは、19.3-19.20 および 21.3-21.11です。容易に悪用できる脆弱性により、認証ユーザー権限を持つ権限の低い攻撃者が HTTP を介してネットワークにアクセスし、Oracle Spatial および Graph (cURL) を侵害する可能性があります。この脆弱性を利用した攻撃に成功すると、権限がなくても、Oracle Spatial および Graph (cURL) をハングアップさせたり、頻繁に繰り返しクラッシュ (完全な DOS) させたりすることができるようになります。
    (CVE-2023-38039)

  - Oracle Database Server の OML4Py (cryptography) コンポーネントの脆弱性。サポートされているバージョンで影響を受けるのは、21.3-21.11 です。悪用が難しい脆弱性ですが、認証されていない攻撃者が HTTP を使用してネットワークにアクセスし、OML4Py (cryptography) を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータや OML4Py (cryptography) がアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があります。(CVE-2022-23491)

  - Oracle Database Server の PL/SQL コンポーネントの脆弱性。サポートされているバージョンで影響を受けるのは、19.3-19.20 および 21.3-21.11です。容易に悪用可能な脆弱性により、権限の高い攻撃者が、Oracle Net を介したネットワークアクセスにより、Create Session や Execute on sys.utl_http 権限を取得し、PL/SQL を侵害する可能性があります。
    攻撃を成功させるには攻撃者以外の人間の関与が必要です。また、脆弱性が存在するのは PL/SQL ですが、攻撃が他の製品に大きな影響を与える可能性があります。(範囲変更)
    この脆弱性を利用した攻撃が成功すると、権限のない更新や一部の PL/SQL アクセス可能データの挿入または削除、PL/SQL アクセス可能データの一部に対する権限のない読み取りアクセス、および PL/SQL の部分的なサービス拒否 (部分的な DOS) を権限なしに引き起こす可能性があります。(CVE-2023-22071)

  - 悪用不可能な脆弱性に対する多層セキュリティの更新 CVE-2020-25649、CVE-2020-36518、CVE-2021-34031、CVE-2022-4899、CVE-2022-42003、CVE-2022-42004、CVE-2022-46908、CVE-2023-2976、CVE-2023-35887。


Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Fedora 38 ホストには、FEDORA-2024-db87ce2a47 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

  - SmithyLexer によって 2.15.0 までの pygments の pygments/lexers/smithy.py で ReDoS の問題が発見されました。
    (CVE-2022-40896)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Fedora 38 ホストには、FEDORA-2024-8eaf80107a のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

  - SmithyLexer によって 2.15.0 までの pygments の pygments/lexers/smithy.py で ReDoS の問題が発見されました。
    (CVE-2022-40896)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
191748	RHEL 8/9：Red Hat Ansible Automation Platform 2.4 製品セキュリティおよびバグ修正プログラムの更新 (重要度高) (RHSA-2024:1057)	Nessus	Red Hat Local Security Checks	2024/3/8	2024/11/7	high
224941	Linux Distros のパッチ未適用の脆弱性: CVE-2022-40896	Nessus	Misc.	2025/3/5	2025/8/20	medium
199805	RHEL 8 : Satellite 6.15.0 (重要度高) (RHSA-2024:2010)	Nessus	Red Hat Local Security Checks	2024/6/3	2025/3/6	high
183503	Oracle Database Server (2023 年 10 月 CPU)	Nessus	Databases	2023/10/20	2024/1/18	medium
189988	Fedora 38 : mingw-python-pygments (2024-db87ce2a47)	Nessus	Fedora Local Security Checks	2024/2/5	2024/11/14	medium
192640	Fedora 38 : python-pygments (2024-8eaf80107a)	Nessus	Fedora Local Security Checks	2024/3/27	2024/11/15	medium
201209	Splunk Enterprise 9.0.0 < 9.0.9、9.1.0 < 9.1.4、9.2.0 < 9.2.1 (SVD-2024-0718)	Nessus	CGI abuses	2024/7/1	2024/7/2	critical

検出

プラグインの検索

high

medium

high

medium

medium

medium

critical