Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - ActiveSupport::EncryptedFile は、暗号化されるコンテンツを一時ファイルに書き込みます。一時ファイルの権限は、デフォルトでユーザーの現在の「umask」設定になります。これは、同じシステムの他のユーザーが一時ファイルの内容を読み取ることができることを意味します。ファイルシステムへのアクセス権を持つ攻撃者が、ユーザーによる一時ファイルの編集中に、この一時ファイルの内容を読み取る可能性があります。影響するリリースを実行しているすべてのユーザーは、速やかにアップグレードするか回避策を取る必要があります。
    (CVE-2023-38037)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモートの openSUSE 15 ホストにインストールされているパッケージは、openSUSE- SU-2023: 0350-1 のアドバイザリに記載されている脆弱性の影響を受けます。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:2010 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

    セキュリティの修正: 
    * python-pygments: pygments での ReDoS (CVE-2022-40896)
    * python-pycryptodomex: PyCryptodome および pycryptodomex における OAEP 復号化のサイドチャネル漏洩 (CVE-2023-52323)
    * satellite: satellite 内の演算子オーバーフロー (CVE-2023-4320)
    * automation-hub: Ansible Automation Hub: galaxy-importer の安全でない tarfile の抽出 (CVE-2023-5189)
    * jetty: CgiServlet のユーザー入力への引用符の不適切な追加 (CVE-2023-36479)
    * python-aiohttp: llhttp HTTP リクエストパーサーを介した HTTP リクエストのスマグリング (CVE-2023-37276)
    * rubygem-activesupport: ローカルで暗号化されたファイルのファイル開示 (CVE-2023-38037)
    * jetty: HTTP/1 content-length の不適切な検証 (CVE-2023-40167)
    * python-django:「django.utils.encoding.uri_to_iri()」での潜在的なサービス拒否の脆弱性 (CVE-2023-41164)
    * python-django: django.utils.text.Truncator でのサービス拒否の可能性 (CVE-2023-43665)
    * python-aiohttp: ヘッダー解析に関する HTTP パーサーにおける多数の問題 (CVE-2023-47627)
    * python-aiohttp: HTTP リクエストの変更 (CVE-2023-49081)
    * python-aiohttp: ユーザーが aiohttp クライアントを使用して HTTP メソッドをコントロールする場合の CRLF インジェクション (CVE-2023-49082)
    * rubygem-puma: チャンク転送エンコーディング本体を解析する際の HTTP リクエストスマグリング (CVE-2024-21647)
    * rubygem-audited: 競合状態によって、誤って間違ったユーザーに起因すると見なされた監査ログが発生する可能性があります (CVE-2024-22047)
    * python-jinja2: ユーザー入力を xmlattr フィルターへのキーとして渡す際の HTML 属性インジェクション (CVE-2024-22195)
    * python-aiohttp: follow_symlinks のディレクトリトラバーサルの脆弱性 (CVE-2024-23334)
    * python-aiohttp: HTTP リクエストのスマグリング (CVE-2024-23829)

    追加の変更
    この更新プログラムでは複数のバグが修正され、さまざまな拡張機能が追加されます。

    これらの変更に関するドキュメントは、「参照」セクションにリンクされているリリースノートのドキュメントから入手できます。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Debian 12 ホストには、dsa-5881 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    - ------------------------------------------------------------------------- Debian セキュリティアドバイザリ DSA-5881-1 security@debian.org https://www.debian.org/security/Moritz Muehlenhoff 2025 年 3 月 17 日 https://www.debian.org/security/faq
    - -------------------------------------------------------------------------

    パッケージ : rails CVE ID : CVE-2023-28362 CVE-2023-38037 CVE-2024-26144 CVE-2024-28103 CVE-2024-41128 CVE-2024-47887 CVE-2024-47888 CVE-2024-47889 CVE-2024-54133

    Rails Web フレームワークに、クロスサイトスクリプティング、情報漏洩、サービス拒否、またはコンテンツセキュリティポリシーのバイパスにつながる可能性のある複数のセキュリティ問題が発見されました。

    安定版 (stable) ディストリビューション (bookworm) では、これらの問題はバージョン 2:6.1.7.10+dfsg-1~deb12u1 で修正されています。

    お使いの rails パッケージをアップグレードすることを推奨します。

    rails の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
    https://security-tracker.debian.org/tracker/rails

    Debian セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://www.debian.org/security/

    メーリングリスト: debian-security-announce@lists.debian.org

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
232134	Linux Distros のパッチ未適用の脆弱性: CVE-2023-38037	Nessus	Misc.	2025/3/6	2025/3/6	medium
184436	openSUSE 15 セキュリティ更新: rubygem-activesupport-5.2 (openSUSE-SU-2023:0350-1)	Nessus	SuSE Local Security Checks	2023/11/5	2025/1/9	medium
199805	RHEL 8 : Satellite 6.15.0 (重要度高) (RHSA-2024:2010)	Nessus	Red Hat Local Security Checks	2024/6/3	2025/3/6	high
232892	Debian dsa-5881 : rails - セキュリティ更新	Nessus	Debian Local Security Checks	2025/3/19	2025/3/19	high

検出

プラグインの検索

medium

medium

high

high