リモートの Oracle Linux 8 ホストに、ELSA-2024-6969 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    aardvark-dns buildah cockpit-podman conmon containernetworking-plugins containers-common container-selinux criu crun fuse-overlayfs libslirp netavark oci-seccomp-bpf-hook podman [4.9.4-13.0.1]
    - cgroupv2 で作成されたコンテナが cgroupv1 で起動しない問題を修正 [Orabug: 36136813]
    - cgroupv2 でホストを再起動した後にコンテナのメモリ制限が設定されない問題を修正 [Orabug: 36136802]
    - podmansh 使用中の podman execvp エラーの問題を修正 [Orabug: 36756665]

    [4:4.9.4-13]
    - https://github.com/containers/podman/tree/v4.9-rhel(https://github.com/containers/podman/commit/e3221b5 の最新コンテンツに更新してください)
    - 解決: RHEL-56326

    python-podman runc skopeo slirp4netns udica

Tenable は、前述の記述ブロックを Oracle Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、d3847eba-114b-11ef-9c21-901b0e9408dc のアドバイザリに記載されている脆弱性の影響を受けます。

  - クエリに対する無効な形式の DNS メッセージにより、Lookup 関数が無限ループに陥る可能性があります。(CVE-2024-24788)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 / 9 ホストに、RHSA-2024:4616 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat OpenShift Container Platform は、オンプレミスまたはプライベートクラウド展開用に設計された、Red Hat のクラウドコンピューティング Kubernetes アプリケーションプラットフォームソリューションです。

    このアドバイザリには、Red Hat OpenShift Container Platform 4.16.4 の RPM パッケージが含まれています。このリリースのコンテナイメージについては、次のアドバイザリを参照してください。

    https://access.redhat.com/errata/RHSA-2024:4613

    セキュリティ修正プログラム:

    * golang: net: 無効な形式の DNS メッセージにより、無限ループが引き起こされる可能性があります (CVE-2024-24788)
    * jinja2: 非属性文字を含むキーを受け入れます (CVE-2024-34064)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

    すべての OpenShift Container Platform 4.16 ユーザーは、適切なリリースチャネルで利用可能な場合に、これらの更新済みパッケージとイメージにアップグレードすることが推奨されます。利用可能な更新をチェックするには、OpenShift CLI (oc) または Web コンソールを使用します。クラスターのアップグレード手順については、https://docs.openshift.com/container-platform/4.16/updating/updating_a_cluster/updating-cluster-cli.html を参照してください

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの SUSE Linux SLES12 / SLES_SAP12 ホストには、SUSE-SU-2024:1573-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - Darwin 上で、CGO を含む Go モジュールをビルドする場合、Apple バージョンの ld を使用すると、#cgo LDFLAGS ディレクティブで -lto_library フラグが使用され、これにより任意のコードが実行がされる可能性があります。(CVE-2024-24787)

  - クエリに対する無効な形式の DNS メッセージにより、Lookup 関数が無限ループに陥る可能性があります。(CVE-2024-24788)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストで実行している Golang のバージョンは、1.22.2 より前の 1.22.x です。したがって、サービス拒否 (DoS) の脆弱性の影響を受けます。クエリに対する無効な形式の DNS メッセージにより、Lookup 関数が無限ループに陥る可能性があります。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2024:1587-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - Darwin 上で、CGO を含む Go モジュールをビルドする場合、Apple バージョンの ld を使用すると、#cgo LDFLAGS ディレクティブで -lto_library フラグが使用され、これにより任意のコードが実行がされる可能性があります。(CVE-2024-24787)

  - クエリに対する無効な形式の DNS メッセージにより、Lookup 関数が無限ループに陥る可能性があります。(CVE-2024-24788)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Ubuntu 20.04 LTS / 22.04 LTS / 24.04 LTS ホストには、USN-6886-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    リクエストのヘッダーが MaxHeaderBytes を超えると、Go net/http モジュールがリクエストを適切に処理しないことが判明しました。攻撃者がこの問題を悪用してパニックを起こさせ、サービス拒否を引き起こす可能性があります。この問題は、Ubuntu 20.04 LTS、Ubuntu 22.04 LTS の Go 1.21 にのみ影響を与えます。(CVE-2023-45288)

    Go net/http モジュールが、サブドメインの一致または初期ドメインの完全一致を適切に検証していないことがわかりました。攻撃者がこの問題を悪用して、秘密情報を読み取る可能性があります。この問題は、Ubuntu 20.04 LTS、Ubuntu 22.04 LTS の Go 1.21 にのみ影響を与えます。(CVE-2023-45289)

    Go net/http モジュールが、マルチパートフォームを解析するとき、解析されるフォームの合計サイズを適切に検証しないことがわかりました。攻撃者がこの問題を悪用してパニックを起こさせ、サービス拒否を引き起こす可能性があります。この問題は、Ubuntu 20.04 LTS、Ubuntu 22.04 LTS の Go 1.21 にのみ影響を与えます。
    (CVE-2023-45290)

    Go crypto/x509 モジュールが、未知の公開鍵アルゴリズムを持つ証明書を含む証明書チェーンを適切に処理しないことがわかりました。攻撃者がこの問題を悪用してパニックを起こさせ、サービス拒否を引き起こす可能性があります。この問題は、Ubuntu 20.04 LTS、Ubuntu 22.04 LTS の Go 1.21 にのみ影響を与えます。(CVE-2024-24783)

    Go net/mail モジュールが、ParseAddressList 関数の表示名内のコメントを適切に処理しないことがわかりました。攻撃者がこの問題を悪用してパニックを起こさせ、サービス拒否を引き起こす可能性があります。この問題は、Ubuntu 20.04 LTS、Ubuntu 22.04 LTS の Go 1.21 にのみ影響を与えます。
    (CVE-2024-24784)

    Go html/template モジュールが、MarshalJSON メソッドから返されたエラーを検証しないことがわかりました。攻撃者がこの問題を悪用して、任意のコードを Go テンプレートに挿入する可能性があります。この問題は、Ubuntu 20.04 LTS、Ubuntu 22.04 LTS の Go 1.21 にのみ影響を与えます。(CVE-2024-24785)

    Go net モジュールが、クエリに対する DNS メッセージを適切に検証しないことがわかりました。
    攻撃者がこの問題を悪用してパニックを起こさせ、サービス拒否を引き起こす可能性があります。この問題の影響を受けるのは、Go 1.22 のみです。(CVE-2024-24788)

    Go archive/zip モジュールが、ほとんどの zip 実装の動作と異なり、特定のタイプの無効な zip ファイルを適切に処理していいませんでした。攻撃者がこの問題を悪用してパニックを起こさせ、サービス拒否を引き起こす可能性があります。(CVE-2024-24789)

    Go net/netip モジュールが、さまざまな Is メソッドで IPv4 にマッピングされた IPv6 アドレスに対して期待どおりに機能しないことがわかりました。攻撃者がこの問題を悪用してパニックを起こさせ、サービス拒否を引き起こす可能性があります。(CVE-2024-24790)

Tenable は、前述の説明ブロックを Ubuntu セキュリティアドバイザリからすでに直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 / 9 ホストに、RHSA-2024:6765 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat Ansible Automation Platform は、IT 自動化を大規模に構築、デプロイ、管理するためのエンタープライズフレームワークを提供します。IT マネージャーは、自動化を個々のチームに適用する方法に関するトップダウンのガイドラインを提供する一方、自動化開発者は、オーバーヘッドなしに既存の知識を活用するタスクを自由に記述できます。Ansible Automation Platform を使用すると、企業全体のユーザーは、シンプルで強力なエージェントレスの言語を使用して、自動化コンテンツを共有、精査、管理できます。

    セキュリティ修正プログラム:

    * python3-pulpcore/python39-pulpcore: オブジェクトを作成するタスクで、RBAC 権限が不適切に割り当てられています (CVE-2024-7143)
    * python3-urllib3/python39-urllib3: urllib3: クロスオリジンのリダイレクト中に proxy-authorization リクエストヘッダーがストリップされません (CVE-2024-37891)
    * receptor: golang: net/netip: IPv4 にマッピングされた IPv6 アドレスに対する Is メソッドからの予期しない動作 (CVE-2024-24790)
    * receptor: golang: net: 無効な形式の DNS メッセージにより、無限ループが引き起こされる可能性があります (CVE-2024-24788)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

    オートメーションコントローラーの更新と修正。
    * 分析収集が有効な場合に、RHSM サブスクリプション認証情報を使用して分析データを送信するフォールバックを更新しました (AAP-30228)
    *「channels-redis」ライブラリをアップグレードして、Redis 接続漏洩を修正 (AAP-30124)
    * automation-controller は 4.5.11 に更新されました

    その他の修正
    * python3/python39-django を 4.2.16 に更新
    * python3/python39-pulpcore を 3.28.32 に更新
    * python3/python39-urllib3 は 1.26.20 に更新されました
    * receptor は 1.4.8-1.1 に更新されました 

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:5291 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Grafana はオープンソースで、Graphite、InfluxDB、OpenTSDB 用の豊富なメトリクスダッシュボードとグラフエディターを備えています。

    セキュリティ修正プログラム: 

    * golang: net: 無効な形式の DNS メッセージにより、無限ループが引き起こされる可能性があります (CVE-2024-24788)

    * golang: archive/zip: 特定の ZIP ファイルの不適切な処理 (CVE-2024-24789)

    * golang: net/netip: IPv4 にマッピングされた IPv6 アドレスに対する Is メソッドからの予期しない動作 (CVE-2024-24790)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Oracle Linux 8 ホストに、ELSA-2024-5291 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    [9.2.10-17]
    - selinux ポリシーの mssql データソースに対して許可します
    - 解決 RHEL-43435

Tenable は、前述の記述ブロックを Oracle Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
207774	Oracle Linux 8: container-tools:ol8 (ELSA-2024-6969)	Nessus	Oracle Linux Local Security Checks	2024/9/25	2024/9/25	high
196913	FreeBSD : go -- net: 無効な形式の DNS メッセージにより、無限ループが引き起こされる可能性があります (d3847eba-114b-11ef-9c21-901b0e9408dc)	Nessus	FreeBSD Local Security Checks	2024/5/13	2024/6/7	medium
204615	RHEL 8 / 9 : OpenShift Container Platform 4.16.4 (RHSA-2024:4616)	Nessus	Red Hat Local Security Checks	2024/7/24	2024/7/24	medium
195294	SUSE SLES12 セキュリティ更新 : go1.22 (SUSE-SU-2024:1573-1)	Nessus	SuSE Local Security Checks	2024/5/10	2024/6/7	medium
196901	Golang 1.22.x < 1.22.3 DoS	Nessus	Misc.	2024/5/13	2024/6/7	medium
195475	SUSE SLED15 / SLES15 / openSUSE 15 セキュリティ更新 : go1.22 (SUSE-SU-2024:1587-1)	Nessus	SuSE Local Security Checks	2024/5/11	2024/5/11	medium
202081	Ubuntu 20.04 LTS / 22.04 LTS / 24.04 LTS : Go の脆弱性 (USN-6886-1)	Nessus	Ubuntu Local Security Checks	2024/7/10	2024/8/27	critical
207395	RHEL 8 / 9 : Red Hat Ansible Automation Platform 2.4 製品セキュリティおよびバグ修正プログラムの更新 (重要度中) (RHSA-2024:6765)	Nessus	Red Hat Local Security Checks	2024/9/18	2024/9/18	critical
205517	RHEL 8 : grafana (RHSA-2024:5291)	Nessus	Red Hat Local Security Checks	2024/8/14	2024/8/14	critical
205536	Oracle Linux 8 : grafana (ELSA-2024-5291)	Nessus	Oracle Linux Local Security Checks	2024/8/14	2024/9/13	critical

検出

プラグインの検索

high

medium

medium

medium

medium

medium

critical

critical

critical

critical