The remote Redhat Enterprise Linux 7 / 8 host has packages installed that are affected by multiple vulnerabilities as referenced in the RHSA-2021:2437 advisory.

    Red Hat OpenShift Container Platform is Red Hat's cloud computing Kubernetes application platform solution     designed for on-premise or private cloud deployments.

    This advisory contains the RPM packages for Red Hat OpenShift Container Platform 4.8.2. See the following     advisory for the container images for this release:

    https://access.redhat.com/errata/RHSA-2021:2438

    Security Fix(es):

    * gogo/protobuf: plugin/unmarshal/unmarshal.go lacks certain index validation (CVE-2021-3121)

    * golang: crypto/elliptic: incorrect operations on the P-224 curve (CVE-2021-3114)

    * openshift: Injected service-ca.crt incorrectly contains additional internal CAs (CVE-2021-3636)

    * python-eventlet: improper handling of highly compressed data and memory allocation with excessive size     allows DoS (CVE-2021-21419)

    * jenkins-2-plugins/matrix-auth: Incorrect permission checks in Matrix Authorization Strategy Plugin     (CVE-2021-21623)

    * jenkins-2-plugins/credentials: Reflected XSS vulnerability in Credentials Plugin (CVE-2021-21648)

    * kubernetes: Validating Admission Webhook does not observe some previous fields (CVE-2021-25735)

    * jenkins: lack of type validation in agent related REST API (CVE-2021-21639)

    * jenkins: view name validation bypass (CVE-2021-21640)

    * kubernetes: Holes in EndpointSlice Validation Enable Host Network Hijack (CVE-2021-25737)

    For more details about the security issue(s), including the impact, a CVSS score, acknowledgments, and     other related information, refer to the CVE page(s) listed in the References section.

    All OpenShift Container Platform 4.8 users are advised to upgrade to these updated packages and images     when they are available in the appropriate release channel. To check for available updates, use the     OpenShift Console or the CLI oc command. Instructions for upgrading a cluster are available at     https://docs.openshift.com/container-platform/4.8/updating/updating-cluster-between-     minor.html#understanding-upgrade-channels_updating-cluster-between-minor

Tenable has extracted the preceding description block directly from the Red Hat Enterprise Linux security advisory.

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

The version of Jenkins Enterprise or Jenkins Operations Center running on the remote web server is 2.222.x prior to 2.222.43.0.3 rev2, 2.249.x prior to 2.249.30.0.3 rev2, or 2.x prior to 2.277.1.2 rev2. It is, therefore, affected by multiple vulnerabilities, including the following:

  - An incorrect permission check in Jenkins Matrix Authorization Strategy Plugin 2.6.5 and earlier allows     attackers with Item/Read permission on nested items to access them, even if they lack Item/Read permission     for parent folders. (CVE-2021-21623)

  - An incorrect permission check in Jenkins Role-based Authorization Strategy Plugin 3.1 and earlier allows     attackers with Item/Read permission on nested items to access them, even if they lack Item/Read permission     for parent folders. (CVE-2021-21624)

  - A cross-site request forgery (CSRF) vulnerability in Jenkins Libvirt Agents Plugin 1.9.0 and earlier     allows attackers to stop hypervisor domains. (CVE-2021-21627)

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

リモートのRedhat Enterprise Linux 7/8ホストにインストールされているパッケージは、RHSA-2021：2437のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  -python-eventlet：高度に圧縮されたデータの不適切な処理と過剰なサイズのメモリ割り当てにより、DoSが発生します（CVE-2021-21419）

  - jenkins-2-plugins/matrix-auth: Matrix Authorization Strategy Pluginでの不適切な権限チェック（CVE-2021-21623）

  - jenkins: エージェント関連のREST APIにおける型検証の欠如（CVE-2021-21639）

  - jenkins: ビュー名検証バイパス（CVE-2021-21640）

  - jenkins-2-plugins/credentials: Credentials Pluginにおける折り返し型XSSの脆弱性（CVE-2021-21648）

  - kubernetes：Validating Admission Webhookは一部以前のフィールドをチェックしません（CVE-2021-25735）

  - kubernetes：EndpointSlice検証における穴によりネットワークのハイジャックが可能になります（CVE-2021-25737）

  - golang：crypto/elliptic：P-224曲線での不適切な操作（CVE-2021-3114）

  -gogo / protobuf：plugin / unmarshal / unmarshal.goに特定のインデックス検証がありません（CVE-2021-3121）

  - openshift: 注入されたservice-ca.crtが追加の内部のCAを誤って含んでいます（CVE-2021-3636）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモート Web サーバーで実行されている Jenkins Enterprise または Jenkins Operations Center のバージョンは、2.222.43.0.3 rev2 より前の 2.222.x、2.249.30.0.3 rev2 より前の 2.249.x、および 2.277.1.2 rev2 より前の 2.x です。そのため、以下を含む複数の脆弱性による影響を受けます:

  - Jenkins Matrix Authorization Strategy Plugin 2.6.5 以前の不適切な権限チェックにより、親フォルダーに対するアイテム/読み取り権限がない場合でも、ネスト化されたアイテムに対するアイテム/読み取り権限を持つ攻撃者が、それらにアクセスする可能性があります。(CVE-2021-21623)

  - Jenkins Role-based Authorization Strategy Plugin 3.1 以前の不適切な権限チェックにより、親フォルダーに対するアイテム/読み取り権限がない場合でも、ネスト化されたアイテムに対するアイテム/読み取り権限を持つ攻撃者が、それらにアクセスする可能性があります。(CVE-2021-21624)

  - Jenkins Libvirt Agents Plugin 1.9.0 以前のクロスサイトリクエスト偽造 (CSRF) の脆弱性により、攻撃者がハイパーバイザードメインを停止する可能性があります。(CVE-2021-21627)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

遠端 Redhat Enterprise Linux 7/8 主機上安裝的套件受到 RHSA-2021: 2437 公告中提及的多個弱點影響。

  - python-eventlet：不當處理高度壓縮的資料，並且記憶體大小配置過大，這會觸發 DoS 攻擊 (CVE-2021-21419)

  - jenkins-2-plugins/matrix-auth: 矩陣授權策略外掛程式中的權限檢查不正確 (CVE-2021-21623)

  - jenkins：代理程式相關的 REST API 中缺少類型驗證 (CVE-2021-21639)

  - jenkins：檢視名稱驗證繞過 (CVE-2021-21640)

  - jenkins-2-plugins/credentials: Credentials 外掛程式中存在反射式 XSS 弱點 (CVE-2021-21648)

  - kubernetes：驗證 Admission Webhook 時未遵循之前的某些欄位 (CVE-2021-25735)

  - kubernetes：EndpointSlice 驗證中的漏洞可導致主機網路劫持 (CVE-2021-25737)

  - golang：crypto/elliptic：P-224 曲線上的錯誤作業 (CVE-2021-3114)

  - gogo/protobuf：plugin/unmarshal/unmarshal.go 缺少特定的索引驗證 (CVE-2021-3121)

  - openshift：插入的 service-ca.crt 錯誤包含其他內部 CA (CVE-2021-3636)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Web 伺服器上執行的 Jenkins Enterprise 或 Jenkins Operations Center 版本為早於 2.222.43.0.3 rev2 的 2.222.x 版本、早於 2.249.30.0.3 rev2 的 2.249.x 版本，或是早於 2.277.1.2 rev2 的 2.x 版本。因此會受到包括以下在內的多個弱點影響：

  - Jenkins Matrix 授權策略外掛程式 2.6.5 及更早版本中存在一個錯誤權限檢查弱點，該弱點允許對巢狀項目擁有項目/讀取權限的攻擊者在即使缺少父項資料夾項目/讀取權限的情況下，也可對其進行存取。(CVE-2021-21623)

  - Jenkins 角色型授權策略外掛程式 3.1 及更早版本中存在一個錯誤權限檢查弱點，該弱點允許對巢狀項目擁有項目/讀取權限的攻擊者在即使缺少父項資料夾項目/讀取權限的情況下，也可對其進行存取。(CVE-2021-21624)

  - Jenkins Libvirt 代理外掛程式 1.9.0 及更早版本中存在一個跨網站要求偽造 (CSRF) 弱點，該弱點允許攻擊者停止 Hypervisor 網域。(CVE-2021-21627)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

远程 Redhat Enterprise Linux 7 / 8 主机上安装的程序包受到 RHSA-2021: 2437 公告中提及的多个弱点影响。

  - python-eventlet：不当处理高度压缩的数据并且内存分配过多导致 DoS (CVE-2021-21419)

  - jenkins-2-plugins/matrix-auth: 矩阵授权策略插件中的权限检查不正确 (CVE-2021-21623)

  - jenkins：代理相关的 REST API 中缺少类型验证 (CVE-2021-21639)

  - jenkins：视图名称验证绕过 (CVE-2021-21640)

  - jenkins-2-plugins/credentials: Credentials 插件中的反射型 XSS 漏洞 (CVE-2021-21648)

  - kubernetes：验证 Admission Webhook 时未遵守之前的某些字段 (CVE-2021-25735)

  - kubernetes：EndpointSlice 验证中的漏洞可导致主机网络劫持 (CVE-2021-25737)

  - golang：crypto/elliptic：P-224 曲线操作错误 (CVE-2021-3114)

  - gogo/protobuf：plugin/unmarshal/unmarshal.go 缺少某些索引验证 (CVE-2021-3121)

  - openshift：注入的 service-ca.crt 错误包含额外的内部 CA (CVE-2021-3636)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Web 服务器上运行的 Jenkins Enterprise 或 Jenkins Operations Center 版本为低于 2.222.43.0.3 rev2 的 2.222.x、低于 2.249.30.0.3 rev2 的 2.249.x 或低于 2.277.1.2 rev2 的 2.x。因此，该应用程序受到多个漏洞的影响，其中包括：

  - Jenkins Matrix Authorization Strategy 插件 2.6.5 及更低版本中存在一个错误权限检查漏洞，允许对嵌套项目具有项目/读取权限的攻击者，在即使缺少父文件夹项目/读取权限的情况下，也能访问这些文件夹。(CVE-2021-21623)

  - Jenkins Role-based Authorization Strategy 插件 3.1 及更低版本中存在一个错误权限检查漏洞，允许对嵌套项目具有项目/读取权限的攻击者，在即使缺少父文件夹项目/读取权限的情况下，也能访问这些文件夹。(CVE-2021-21624)

  - Jenkins Libvirt Agents 插件 1.9.0 及更低版本中存在一个跨站脚本伪造 (CSRF) 漏洞，允许攻击者终止 Hypervisor 网域。(CVE-2021-21627)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
152103	RHEL 7 / 8 : OpenShift Container Platform 4.8.2 (RHSA-2021:2437)	Nessus	Red Hat Local Security Checks	2021/7/27	2024/6/3	high
155633	Jenkins Enterprise and Operations Center < 2.222.43.0.3 rev2 / 2.249.30.0.3 rev2 / 2.277.1.2 rev2 Multiple Vulnerabilities (CloudBees Security Advisory 2021-03-18)	Nessus	CGI abuses	2021/11/19	2024/6/4	high
152103	RHEL 7/8：OpenShift Container Platform 4.8.2パッケージおよび（RHSA-2021：2437)	Nessus	Red Hat Local Security Checks	2021/7/27	2024/6/3	high
155633	Jenkins Enterprise および Operations Center < 2.222.43.0.3 rev2/2.249.30.0.3 rev2/2.277.1.2 rev2 の複数の脆弱性 (CloudBees セキュリティアドバイザリ 2021 年 3 月 18 日)	Nessus	CGI abuses	2021/11/19	2024/6/4	high
152103	RHEL 7/8：OpenShift 容器平台 4.8.2 套件和 (RHSA-2021: 2437)	Nessus	Red Hat Local Security Checks	2021/7/27	2024/6/3	high
155633	Jenkins Enterprise and Operations Center < 2.222.43.0.3 rev2/2.249.30.0.3 rev2/2.277.1.2 rev2 多個弱點 (CloudBees 安全性公告 2021-03-18)	Nessus	CGI abuses	2021/11/19	2024/6/4	high
152103	RHEL 7 / 8：OpenShift Container Platform 4.8.2 程序包和 (RHSA-2021: 2437)	Nessus	Red Hat Local Security Checks	2021/7/27	2024/6/3	high
155633	Jenkins Enterprise 和 Operations Center < 2.222.43.0.3 rev2/2.249.30.0.3 rev2/2.277.1.2 rev2 多个漏洞（CloudBees 安全公告 2021-03-18）	Nessus	CGI abuses	2021/11/19	2024/6/4	high

検出

プラグインの検索

high

high

high

high

high

high

high

high