Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - バージョン 7.1.2.CR1、 7.1.2.GA より前の Undertow では、 CVE-2016-4993 の修正が不完全であり、Undertow Web サーバーが、 より前のサニタイズおよびユーザー入力の検証が不十分なために、任意の HTTP ヘッダーの注入および応答の分割に対して脆弱であることが判明しました。入力は HTTP ヘッダー値の一部として使用されます。CVE-2018-1067

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモート Redhat Enterprise Linux 6 ホストに、RHSA-2018:1248 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  - undertow: ServletResourceManager クラスでのパストラバーサル (CVE-2018-1047)

  - undertow: UTF-8 エンコーディングで CRLF を使用する HTTP ヘッダーインジェクション (CVE-2016-4993 の不完全な修正) (CVE-2018-1067)

  - slf4j: EventData コンストラクターのシリアル化解除の脆弱性により、任意のコードが実行される可能性があります (CVE-2018-8088)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 6 / 7 ホストに、RHSA-2018:1249 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    * eap7-jboss-ec2-eapパッケージは、Amazon Web Services（AWS）Elastic Compute Cloud（EC2）で実行するRed Hat JBoss Enterprise Application Platform用のスクリプトを提供します。

    この更新プログラムにより、Red Hat JBoss Enterprise Application Platform 7.1.2との互換性を確保するためにeap7-jboss-ec2-eapパッケージが更新されています。

    このリリースに含まれる最も重要なバグ修正と拡張機能については、「参照」セクションでリンクされている『JBoss Enterprise Application Platform 7.1リリースノート』を参照してください。

    セキュリティ修正プログラム: 

    * undertow：UTF-8 エンコーディングで CRLF を使用する HTTP ヘッダーインジェクション（の不完全な修正 CVE-2016-4993）（CVE-2018-1067）

    * wildfly-undertow：undertow：ServletResourceManager クラスでのパストラバーサル（CVE-2018-1047）

    * slf4j: EventData コンストラクターのシリアル化解除の脆弱性により、任意のコードが実行される可能性があります (CVE-2018-8088)

    Red Hatは、 CVE-2018-1067を報告してくれたAmmarit Thongthua氏とNattakit Intarasorn氏（Deloitte Thailand Pentestチーム）、 CVE-2018-8088を報告してくれたChris McCown氏に感謝の意を表します。

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

rhvm-applianceの更新プログラムがRed Hat Enterprise Linux 7のRed Hat Virtualization 4で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重要度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。RHV-M Virtual Applianceは、Red Hat Virtualization Managerのインストールおよび構成プロセスを自動化します。アプライアンスは、OVAファイルとしてCustomer Portalからダウンロードできます。次のパッケージが新しいアップストリームバージョンにアップグレードされました：rhvm-appliance （4.2）。（BZ#1590658、BZ#1591095、BZ#1591096、BZ#1592655、BZ# 1594636、BZ#1597534、BZ#1612683）Red Hatは、CVE-2018-10915を報告してくれたPostgreSQLプロジェクトと、CVE-2018-1067を報告してくれたAmmarit Thongthua氏（Deloitte Thailand Pentestチーム）とNattakit Intarasorn氏（Deloitte Thailand Pentestチーム）に感謝の意を表します。アップストリームでは、Andrew KrasichkovをCVE-2018-10915の最初の報告者として認めています。セキュリティ修正プログラム：*脆弱性：wildfly-core：パストラバーサルで.warアーカイブを抽出して任意のファイルを書き込む可能性（Zip Slip）（CVE-2018-10862）*脆弱性：apache-cxf：com.sun.net.sslでTLSホスト名の検証が正常に機能しません。*（CVE-2018-8039）*脆弱性：postgresql：特定のホスト接続パラメーターはクライアントサイドのセキュリティ防御を回避します。*（CVE-2018-10915）*脆弱性：undertow：UTF-8エンコーディング（不完全な修正）のCRLFを使ったHTTPヘッダー挿入（CVE-2018-1067、 CVE-2016-4993）* 脆弱性： undertow：JarURLConnection.getLastModified()によるファイル記述子の漏えいにより、攻撃者がサービス拒否を引き起こす可能性があります（CVE-2018-1114） *脆弱性： guava：AtomDoubleArrayおよびCompoundOrderingクラスの無制限メモリ割り当てにより、リモートの攻撃者がサービス拒否を引き起こす可能性（CVE-2018-10237）*脆弱性：bouncycastle：RSAキーペアジェネレーターへの低レベルインターフェイスにおける欠陥（CVE-2018-1000180）影響、CVSSスコア、認定、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されているCVEページを参照してください。

Red Hat JBoss Enterprise Application Platform 7.1.2を提供し、いくつかのバグを修正し、さまざまな機能強化を追加する更新済みパッケージが、Red Hat Enterprise Linux 7で現在利用可能です。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高として評価しています。詳細な重要度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat JBoss Enterprise Application Platformは、JBoss Application ServerをベースにしたJavaアプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 7.1.2のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.1.1を置換するものとして機能し、「参照」でリンクされているリリースノートにドキュメント化されているバグ修正プログラムと拡張機能が含まれています。セキュリティ修正プログラム：*undertow：UTF-8エンコーディングでCRLFを使用するHTTPヘッダインジェクション（CVE-2016-4993の不完全な修正）（CVE-2018-1067）*wildfall-undertow：undertow：ServletResourceManagerクラスでのパストラバーサル（CVE-2018-1047）*slf4j：任意のコードが実行される可能性があるEventDataコンストラクターにおける逆シリアル化の脆弱性（CVE-2018-8088）Red HatはCVE-2018-1067を報告してくれたAmmarit Thongthua氏とNattakit Intarasorn氏（Deloitte Thailand Pentestチーム）、CVE-2018-8088を報告してくれたChris McCown氏に感謝の意を表します。影響、CVSSスコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
252592	Linux Distros のパッチ未適用の脆弱性: CVE-2018-1067	Nessus	Misc.	2025/8/20	2025/8/20	medium
109389	RHEL 6 : RHEL 6 上の JBoss Enterprise Application Platform 7.1.2 のセキュリティ更新プログラム (重要度高) (RHSA-2018:1248)	Nessus	Red Hat Local Security Checks	2018/4/27	2024/10/22	critical
109390	RHEL 6/7：EAP 用の jboss-ec2-eap パッケージ 7.1.2 （重要度高）（RHSA-2018:1249）	Nessus	Red Hat Local Security Checks	2018/4/27	2025/4/15	critical
117324	RHEL 7：仮想化（RHSA-2018:2643）	Nessus	Red Hat Local Security Checks	2018/9/6	2025/4/29	high
109388	RHEL 7：JBoss EAP（RHSA-2018：1247）	Nessus	Red Hat Local Security Checks	2018/4/27	2024/11/5	critical

検出

プラグインの検索

medium

critical

critical

high

critical