Hadoop YARN ResourceManagerのWebインターフェイスがリモートホストで検出されました。このインターフェイスを使用して、アプリケーションを実行するためのリソースを監視したり割り当てたりすることができます。

リモートホストで実行されているApache Hadoop YARN ResourceManagerでは、認証されていないユーザーがアプリケーションを作成して実行する可能性があります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたHTTPリクエストを介して、実行ノードのユーザー権限のもとで、任意のコードを実行する可能性があります。

- 1.21.1に更新してください。

  - /usr/bin/yarnを提供します

  - CVE-2019-10773を解決します

  - nodejs-yarnバイナリパッケージの名前をyarnyarnpkgに変更します（他のディストリビューションと同様）

  - すべての仕様でnodejsマクロを使用します

  - テストが失敗する場合に、ビルドが失敗するようにします

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

- 1.21.1に更新してください

  - CVE-2019-10773を解決します

  - nodejs-yarnバイナリパッケージの名前をyarnyarnpkgに変更します（他のディストリビューションと同様）

  - すべての仕様でnodejsマクロを使用します

  - テストが失敗する場合に、ビルドが失敗するようにします

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

Apache Spark 2.4.5 以前では、スタンドアロンのリソースマネージャーのマスターが、共有シークレットを介して認証 (spark.authenticate) を要求するように構成されている場合があります。ただし、有効にすると、マスターへの特別に細工された RPC が、共有キーなしでも、SPARK クラスターでアプリケーションのリソースの起動に成功する可能性があります。これを利用して、ホストマシンでシェルコマンドを実行できます。これは、他のリソースマネージャー (YARN、Mesos など) を使用している SPARK クラスターには影響しません。 

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

neovimに対するこの更新は次の問題を修正します：

neovimはバージョン0.3.7に更新されました :

  - CVE-2019-12735：ソースはサンドボックスをチェックする必要があります（boo#1137443）

  - genappimage.sh：linuxdeployへ移行

バージョン0.3.5へのバージョン更新：

  - オプション：「autochdir」でディレクトリを適切にリセット

  - SHM_ALLに対するMSVC最適化の回避策を削除します

  - 複合リテラル#defineではなく、SHM_ALLを変数にします

  - doc：「pynvim」モジュールの名前変更に言及します

  - 画面：「rightleft」オプションのあるポップアップメニューを描画する際にクラッシュしません

  - 後読み一致が誤った行番号を使用する可能性があります

  - ：terminal：ウィンドウの高さに基づいてトップラインを設定します

  -：recover ：存在しない*.swpでのクラッシュを修正します

バージョン0.3.4へのバージョン更新：

  - テスト：カーソルの動きを隠すためのテストを追加します

  - display：ursorlineを統合し、cursor再描画ロジックを隠します

バージョン0.3.3へのバージョン更新：

  - health/provider：neovim modがない場合に利用可能なpynvimをチェックします

  - python#CheckForModule：pynvimをハードコードせずに、与えられたモジュール文字列を使用します

  - (health.provider)/python：pynvimではなくneovimモジュールをインポートします

  - TUI：Konsole DECSCUSRの修正

バージョン0.3.2へのバージョン更新：- 

  - 機能

  - clipboard：カスタムVimL関数をサポートします（#9304）

  - win/TUI：ターミナル/コンソールのサポートを改善します（#9401）

  - startup：存在する場合は$XDG_CONFIG_DIRS/nvim/sysinit.vimを使用します（#9077）

  - より多くの場所でマッピングをサポートします（#9299）

  - diff/highlight：低優先度のCursorLineに下線を表示します（#9028）

  - signs：「nuhml」引数を追加します（#9113）

  - clipboard：Waylandをサポートします（#9230）

  - TUI：下線と下線の色のサポートを追加します（#9052）

  - man.vim：ソフト（動的）ラップ（#9023）

  - API

  - API：オブジェクトの名前空間を実装します（#6920）

  - API：nvim_win_set_buf()を実装します（#9100）

  - API：仮想テキスト注釈（nvim_buf_set_virtual_text）（#8180）

  - API：nvim_buf_is_loaded()を追加します（#8660）

  - API：nvm_buf_get_offset_for_line（#8221）

  - API/UI：ext_newgrid、ext_histate（#8221）

  - UI

  - TUI：BCEをより頻繁に再び使用する（よりスムーズなサイズ変更）（#8806）

  - 画面：redraw_later(CLEAR)が使用された場合に、欠落したステータスを再描画します（#9315）

  - TUI：サイズ変更時に無効な領域をクリップします（#8779）

  - TUI：スクロールおよびクリアの改善（#9193）

  - TUI：ほとんどすべての場所でクリアを無効にします（#9143）

  - TUI：常にリサイズ後の安全なカーソルの動きを使用します（#9079）

  - ui_options：起動時にまたはOptionSetからも送信します（#9211）

  - TUI：古いVTEでreset_color_cursor_colorを回避します（#9191）

  -  hi起動時の標準で画面を消去しません（#9021）

  - TUI：端末へのヒント折り返し行（#8915） 

  - 修正

  - RPC：エラーを非同期呼び出しから通知に変えます

  - TUI：「タイトルスタッキング」を経由して端末のタイトルを復元します（#9407）

  - genappimage：呼び出し時に$ARGV0を設定解除します（#9376）

  - TUI：Konsole 18.07.70はDECSCUSRをサポートします（#9364）

  - provider：エラーメッセージを改善します（#9344） 

  - runtime/syntax：autogroupコンテンツのハイライトを修正します（#9328）

  - VimL/confirm()：以下の場合でもダイアログを表示します：サイレント（#9297）

  - clipboard：xclipを好みます（#9302）

  - provider/nodejs：npm、yarn検出を修正します

  - channel：端末のみがアクティブな場合に出力のバッファリングを回避します（#9218）

  - ruby：その他のバージョンのrbenv shimsを検出します（#8733）

  - third-party/unibilium：拡張機能エントリの解析を修正します（#9123）

  - jobstart()：実行可能でないcwdでのハングを修正します（#9204）

  - provide/nodejs：同時にnpmとyarnをクエリします（#9054）

  - undo：undo_read_byteがEOFを返す場合の無限ループを修正します（#2880） 

  -「swapfile：常にダイアログを表示」（#9034） 

  - /usr/share/vim/siteによりruntimepathのシステム全体の構成ファイル拡張子を追加し、neovimがパッケージからインストールされた他のVimプラグインを使用するようにします。

  - ディレクトリの/usr/share/vim/siteツリーを、neovimが所有するように追加します。

リモートの Oracle Linux 8 ホストに、ELSA-2022-17956 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  - Go 1.17.9より前および 1.18.1より前の 1.18.xの encoding/pem で、大量の PEM データを介したデコードスタックオーバーフローが発生します。(CVE-2022-24675)

  - Go 1.17.9より前および 1.18.1より前の 1.18.xの crypto/elliptic の汎用 P-256 機能により、長いスカラー入力を介したパニックが可能になります。(CVE-2022-28327)

  - 1.17.10より前の Go および 1.18.2より前の 1.18.xに不適切な権限が割り当てられています。ゼロ以外のフラグパラメーターで呼び出されると、Faccessat 関数が、ファイルがアクセス可能であると誤って報告する可能性があります。
    (CVE-2022-29526)

  - 特定の無効な形式の証明書が提示された場合、1.18.1 より前の Go 1.18.xの crypto/x509 で Certificate.Verify が引き起こされ、macOS でパニックが発生する可能性があります。これにより、リモートの TLS サーバーが TLS クライアントにパニックを引き起こす可能性があります。(CVE-2022-27536)

  - Go プロジェクトによる報告: crypto/rand: rand.Read は非常に大きなバッファでハングします。Windows では、rand.Read は、1 << 32-1 バイトより大きいバッファを渡すと、無期限にハングします。crypto/tls: セッションチケットにランダムな ticket_age_add がありません。crypto/tls によって生成されたセッションチケットに、ランダムに生成された ticket_age_add が含まれていませんでした。これにより、攻撃者は TLS ハンドシェイクを観察し、セッション再開中にチケットの有効期間を比較することで、連続する接続を相互に関連付けることができます。os/exec: Windows で、Cmd.Run、cmd.Start、cmd.Output、または cmd.CombinedOutput が実行される場合、empty Cmd.Path により、Windows で意図しないバイナリが実行される可能性があります。Cmd.Path が設定されておらず、作業ディレクトリに ..com か ..exe という名前のバイナリがある場合、それらは実行されます。path/filepath: Clean(`.\c: `) returns `c: ` Windows では、filepath.Clean 関数が無効なパスを有効な絶対パスに変換する可能性があります。例えば、Clean(`.\c: `) returned `c: `. (CVE-2022-29804, CVE-2022-30580, CVE-2022-30634)

  - grafana-8.5.6-1.fc37 の自動更新。##### **変更ログ** `` `* 2022 年 1 月 29 日水曜日 Andreas Gerstmayr <agerstmayr@redhat.com>8.5.6-1 - 8.5.6タグ付きアップストリームコミュニティソースに更新、CHANGELOG を参照 - AGPLv3 に更新 - コメント付きのサンプル構成ファイルを　/etc/grafana/grafana.ini に配置 - ビルドプロセスで Go モジュールを有効化 - Node.js バンドルを yarn v3 および Zero Install 機能に適合 * 2022 年 1 月 19 日日曜日 Robert-Andr Mauchin <zebob.m@gmail.com>- 7.5.15-3- CVE-2022-1996、CVE-2022-24675、CVE-2022-28327、CVE-2022-27191、CVE-2022-29526、CVE-2022-30629``` のために再構築 (CVE-2022-30629)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

このfirejail用の更新プログラムでは、次の問題が修正されています：

firejail 0.9.64.4はopenSUSE Leap 15.2に出荷されます

  - CVE-2021-26910：競合状態によるルート権限昇格を修正しました（boo#1181990）

0.9.64.4への更新：

  - 複数の修正を保留している、overlayfsを無効にしました

  - telegram-desktop.profileの開いているURLに対するFirefoxの起動を修正しました

0.9.64.2への更新：

  - 権限のないユーザーに対して$HOME内での--tmpfsを許可します

  - --disable-usertmpfs コンパイル時オプション

  - --protocol=bluetoothによるAF_BLUETOOTHを許可します

  - 新規ユーザー向けのセットアップガイド：contrib/firejail-welcome.sh

  - プロファイルにnetnsを実装します

  - nolocal6.net IPv6ネットワークフィルターを追加しました

  - 新しいプロファイル：spectacle、chromium-browser-privacy、gtk-straw-viewer、gtk-youtube-viewer、gtk2-youtube-viewer、gtk3-youtube-viewer、straw-viewer、lutris、dolphin-emu、authenticator-rs、servo、npm、marker、yarn、lsar、unar、agetpkg、mdr、shotwell、qnapi、新しいプロファイル：guvcview、pkglog、kdiff3、CoyIM。

バージョン 0.9.64 に更新してください：

  - firemonの--nowrapオプションを--wrapに置き換えました

  - seccompフィルターのブロックアクションが、プロセスの強制終了から呼び出し側にEPERMを返すように変更されました。以前の動作に戻すには、
    -seccomp-error-action=kill またはsyscall: kill構文をフィルターの構築時に使用するか、/etc/firejail/firejail.configファイルでオーバーライドします。

  - xdg-dbus-proxyによる粒度の細かいD-Busサンドボックス。
    D-Busアクセスが許可されない場合、xdg-dbus-proxyをインストールする必要があります。このバージョンでは、dbus-user noneおよびdbus-system noneを優先してnodbusが廃止され、将来のバージョンで削除されます。

  - DHCPクライアントのサポート

  - firecfgはsudoで起動した場合にのみdektop-filesを修正します

  - SELinuxラベルリングサポート

  - カスタム32ビットseccompフィルターのサポート

  - いくつかのプロファイルで $(RUNUSER)を制限します

  - いくつかのプロファイルでbashなどのシェルをブラックリストに追加します

  - グロビングをホワイトリストに追加します

  - /run/userディレクトリに対するmkdirおよびmkfileのサポート

  - includeに対するignoreをサポートします

  - コマンドラインでの--include

  - whitelist-players.incのメディアプレーヤーのホワイトリストを分割

  - 新しい条件：HAS_NOSOUND

  - 新しいプロファイル：gfeeds、firefox-x11、tvbrowser、rtv、clipgrab、muraster

  - 新しいプロファイル：gnome-passwordsafe、bibtex、gummi、latex、mupdf-x11-curl

  - 新しいプロファイル：pdflatex、tex、wpp、wpspdf、wps、et、multimc、mupdf-x11

  - 新しいプロファイル：gnome-hexgl、com.github.johnfactotum.Foliate、mupdf-gl、mutool

  - 新しいプロファイル：desktopeditors、impressive、planmaker18、planmaker18free

  - 新しいプロファイル：presentations18、presentations18free、textmaker18、teams

  - 新しいプロファイル：textmaker18free、xournal、gnome-screenshot、ripperX

  - 新しいプロファイル：sound-juicer、com.github.dahenson.agenda、gnome-pomodoro

  - 新しいプロファイル：gnome-todo、x2goclient、iagno、kmplayer、penguin-command

  - 新しいプロファイル：frogatto、gnome-mines、gnome-nibbles、lightsoff、warmux

  - 新しいプロファイル：ts3client_runscript.sh、ferdi、abiword、four-in-a-row

  - 新しいプロファイル：gnome-mahjongg、gnome-robots、gnome-sudoku、gnome-taquin

  - 新しいプロファイル：gnome-Tetravex、blobwars、gravity-beams-and-evaporating-stars

  - 新しいプロファイル：hyperrogue、jumpnbump-menu、jumpnbump、magicor、mindless

  - 新しいプロファイル：mirrormagic、mrrescue、scorched3d-wrapper、scorchwentbonkers

  - 新しいプロファイル：seahorse-adventures、wordwarvi、xbill、gnome-klotski

  - 新しいプロファイル：swell-foop、fdns、five-or-more、steam-runtime

  - 新しいプロファイル：nicotine、plv、mocp、apostrophe、quadrapassel、dino-im

  - 新しいプロファイル：hitori、bijiben、gnote、gnubik、ZeGrapher、xonotic-sdl-wrapper

  - 新しいプロファイル：gapplication、openarena_ded、element-desktop、cawbird

  - 新しいプロファイル：freetube、strawberry、jitsi-meet-desktop

  - 新しいプロファイル：homebank、mattermost-desktop、newsflash、com.gitlab.newsflash

  - 新しいプロファイル：sushi、xfce4-screenshooter、org.gnome.NautilusPreviewer、lyx

  - 新しいプロファイル：minitube、nuclear、mtpaint、minecraft-launcher、gnome-calendar

  - 新しいプロファイル：vmware、git-cola、otter-browser、kazam、menulibre、musictube

  - 新しいプロファイル：onboard、fractal、mirage、quaternion、spectral、man、psi

  - 新しいプロファイル：smuxi-frontend-gnome、balsa、kube、trojita、youtube

  - 新しいプロファイル：youtubemusic-nativefier、cola、dbus-send、notify-send

  - 新しいプロファイル：qrencode、ytmdesktop、twitch

  - 新しいプロファイル：xournalpp、chromium-freeworld、equalx

  - AppArmorプロファイルとAppArmor 3.0との互換性を確保します（欠落しているinclude <tunables/global>を追加します）

0.9.62.4への更新

  - 以前のリリースで破損したAppArmorを修正します

  - その他の修正

0.9.62.2への更新

  - CVE-2020-17367を修正します

  - CVE-2020-17368を修正します

ID	名前	製品	ファミリー	公開日	更新日	深刻度
117616	Apache Hadoop YARN ResourceManager Webインターフェイス	Nessus	CGI abuses	2018/9/20	2023/5/24	info
117615	Apache Hadoop YARN ResourceManagerの認証されていないRCE（リモート）（Xbash）	Nessus	CGI abuses	2018/9/20	2019/3/6	critical
133576	Fedora 31：nodejs-yarn（2020-766ce5adae）	Nessus	Fedora Local Security Checks	2020/2/10	2024/3/27	high
133575	Fedora 30：nodejs-yarn（2020-7525beefa1）	Nessus	Fedora Local Security Checks	2020/2/10	2024/3/27	high
172445	Apache Spark < 2.4.6 RCE (CVE-2020-9480)	Nessus	Misc.	2023/3/10	2023/8/30	critical
126899	openSUSEセキュリティ更新プログラム：neovim（openSUSE-2019-1759）	Nessus	SuSE Local Security Checks	2019/7/22	2024/5/9	high
163040	Oracle Linux 8：go-toolset：ol8addon (ELSA-2022-17956)	Nessus	Oracle Linux Local Security Checks	2022/7/12	2023/10/18	high
146524	openSUSEセキュリティ更新プログラム：firejail（openSUSE-2021-271）	Nessus	SuSE Local Security Checks	2021/2/16	2024/1/22	critical

検出

プラグインの検索

info

critical

high

high

critical

high

high

critical