リモートの Redhat Enterprise Linux 8 ホストにインストールされているパッケージは、RHSA-2023: 1513 アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - SnakeYaml: コンストラクター逆シリアル化のリモートコード実行 (CVE-2022-1471)

  - snakeyaml: java.base/java.util.ArrayList.hashCode でキャッチされない例外 (CVE-2022-38752)

  - hsqldb: 信頼できない入力は、RCE 攻撃につながる可能性があります (CVE-2022-41853)

  - dev-java/snakeyaml: スタックオーバーフローによる DoS (CVE-2022-41854)

  - codec-haproxy: HAProxyMessageDecoder スタック枯渇 DoS (CVE-2022-41881)

  - undertow: https 接続のサーバー ID が undertow クライアントによってチェックされません (CVE-2022-4492)

  - apache-james-mime4j: MIME4J TempFileStorageProvider での一時ファイルの情報漏洩 (CVE-2022-45787)

  - RESTEasy: 安全でない一時ファイルの作成 (CVE-2023-0482)

  - Undertow: クローズ中の SslConduit の無限ループ (CVE-2023-1108)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - undertow クライアントが、https 接続のサーバー証明書によって提示されたサーバー ID をチェックしていません。これは、https および http/2 で必須のステップです (少なくともデフォルトで実行する必要があります)。これを TLS クライアントプロトコルに追加します。(CVE-2022-4492)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモート Redhat Enterprise Linux 7 ホストに、RHSA-2025:9583 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 7 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 7.3.14 のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.3.13 に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 7.3.14 リリースノート』を参照してください。

    セキュリティ修正プログラム:

    * undertow無制限のリクエストストレージがメモリの枯渇を引き起こします [eap-7.3.z]CVE-2023-1973

    * undertowクローズ中の SslConduit の無限ループ [eap-7.3.z]CVE-2023-1108

    * undertow@MultipartConfig 処理による OutOfMemoryError eap-7.3.z]CVE-2023-3223

    * undertowwildfly-http-client プロトコルとの接続がいくつか閉じられた後のメモリ不足エラー [eap-7.3.z]CVE-2024-1635

    * keycloakorg.keycloak.protocol.oidccheckLoginIframe の未検証のクロスオリジンメッセージが DDoS を引き起こします [eap-7.3.z]CVE-2024-1249

    * undertowhttps 接続のサーバー識別は、undertow クライアントによってチェックされません [eap-7.3.z]CVE-2022-4492

    * undertowHTTP/2 のフローコントロールにある潜在的なセキュリティ問題が、DOS につながる可能性があります に対する不完全な修正 CVE-2021-3629eap-7.3.zCVE-2022-1259

    * undertow大きな AJP リクエストが DoS を引き起こす可能性があります [eap-7.3.z]CVE-2022-2053

    * undertowAJP リクエストが maxRequestSize を超える接続を切断します [eap-7.3.z]CVE-2023-5379

    * undertowEAP 7 からの 400 に対する二重 AJP 応答により、CPING エラーが発生します [eap-7.3.z]CVE-2022-1319

    * eapJBoss EAPwildfly-elytron に SSRF のセキュリティ問題があります [eap-7.3.z]CVE-2024-1233

    * wildfly-elytron安全でないコンパレータの使用によるタイミング攻撃の可能性 [eap-7.3.z]CVE-2022-3143

    * netty-allnetty-codecSnappyFrameDecoder がチャンク長を制限せず、不要な方法でスキップ可能なチャンクをバッファする可能性があります [eap-7.3.z]CVE-2021-37137

    * netty-allnetty-codecBzip2Decoder が、展開されたデータに対してサイズ制限を設定することを許可しません [eap-7.3.z]CVE-2021-37136

    * jackson-databind深度の高いネスト化されたオブジェクトによるサービス拒否 [eap-7.3.z]CVE-2020-36518

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Redhat Enterprise Linux 8 ホストにインストールされているパッケージは、RHSA-2023: 2706 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - OkHostnameVerifier.java の verifyHostName では、暗号が不適切に使用されているため、間違ったドメインの証明書を受け入れる可能性があります。これにより、追加の実行権限が不要になり、リモート情報漏洩が引き起こされる可能性があります。悪用はユーザーの操作を必要としません。製品: 
    Android。バージョン:  Android-8.1 Android-9 Android-10 Android-11Android ID: A-171980069 (CVE-2021-0341)

  - snakeYAML を使用して信頼できない YAML ファイルを解析すると、サービス拒否攻撃 (DOS) に対して脆弱になる可能性があります。パーサーがユーザー指定の入力で実行している場合、攻撃者がコンテンツを提供し、スタックオーバーフローによりパーサーをクラッシュさせる可能性があります。(CVE-2022-38752)

  - 信頼できない YAML ファイルを解析するために Snakeyaml を使用しているユーザーは、サービス拒否攻撃 (DOS) に対して脆弱である可能性があります。
    パーサーがユーザー指定の入力で実行している場合、攻撃者がコンテンツを提供し、スタックオーバーフローによりパーサーをクラッシュさせる可能性があります。この影響により、サービス拒否攻撃がサポートされる可能性があります。(CVE-2022-41854)

  - Netty プロジェクトは、イベント駆動型非同期ネットワークアプリケーションフレームワークです。4.1.86.Final より前のバージョンでは、無限再帰のために、無効な形式の細工されたメッセージを解析するときに StackOverflowError が発生する可能性があります。この問題には、バージョン 4.1.86.Final でパッチが適用されています。カスタム HaProxyMessageDecoder を使用する以外、回避策はありません。(CVE-2022-41881)

  - undertow クライアントが、https 接続のサーバー証明書によって提示されたサーバー ID をチェックしていません。これは、https および http/2 で必須のステップです (少なくともデフォルトで実行する必要があります)。これを TLS クライアントプロトコルに追加します。(CVE-2022-4492)

  - MIME4J TempFileStorageProvider が使用する一時ファイルに対する不適切な laxist アクセス許可により、他のローカルユーザーへの情報漏洩が発生する可能性があります。この問題は Apache James MIME4J バージョン 0.8.8 と、それ以前のバージョンに影響します。MIME4j バージョン 0.8.9 以降にアップグレードすることをお勧めします。(CVE-2022-45787)

  - RESTEasy では、安全でない File.createTempFile() が、DataSourceProvider、FileProvider、および Mime4JWorkaround クラスで使用されています。これにより、ローカルユーザーが読み取ることができる安全でないアクセス許可を持つ一時ファイルが作成されます。(CVE-2023-0482)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Redhat Enterprise Linux 7 ホストにインストールされているパッケージは、RHSA-2023: 2705 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - OkHostnameVerifier.java の verifyHostName では、暗号が不適切に使用されているため、間違ったドメインの証明書を受け入れる可能性があります。これにより、追加の実行権限が不要になり、リモート情報漏洩が引き起こされる可能性があります。悪用はユーザーの操作を必要としません。製品: 
    Android。バージョン:  Android-8.1 Android-9 Android-10 Android-11Android ID: A-171980069 (CVE-2021-0341)

  - snakeYAML を使用して信頼できない YAML ファイルを解析すると、サービス拒否攻撃 (DOS) に対して脆弱になる可能性があります。パーサーがユーザー指定の入力で実行している場合、攻撃者がコンテンツを提供し、スタックオーバーフローによりパーサーをクラッシュさせる可能性があります。(CVE-2022-38752)

  - 信頼できない YAML ファイルを解析するために Snakeyaml を使用しているユーザーは、サービス拒否攻撃 (DOS) に対して脆弱である可能性があります。
    パーサーがユーザー指定の入力で実行している場合、攻撃者がコンテンツを提供し、スタックオーバーフローによりパーサーをクラッシュさせる可能性があります。この影響により、サービス拒否攻撃がサポートされる可能性があります。(CVE-2022-41854)

  - Netty プロジェクトは、イベント駆動型非同期ネットワークアプリケーションフレームワークです。4.1.86.Final より前のバージョンでは、無限再帰のために、無効な形式の細工されたメッセージを解析するときに StackOverflowError が発生する可能性があります。この問題には、バージョン 4.1.86.Final でパッチが適用されています。カスタム HaProxyMessageDecoder を使用する以外、回避策はありません。(CVE-2022-41881)

  - undertow クライアントが、https 接続のサーバー証明書によって提示されたサーバー ID をチェックしていません。これは、https および http/2 で必須のステップです (少なくともデフォルトで実行する必要があります)。これを TLS クライアントプロトコルに追加します。(CVE-2022-4492)

  - MIME4J TempFileStorageProvider が使用する一時ファイルに対する不適切な laxist アクセス許可により、他のローカルユーザーへの情報漏洩が発生する可能性があります。この問題は Apache James MIME4J バージョン 0.8.8 と、それ以前のバージョンに影響します。MIME4j バージョン 0.8.9 以降にアップグレードすることをお勧めします。(CVE-2022-45787)

  - RESTEasy では、安全でない File.createTempFile() が、DataSourceProvider、FileProvider、および Mime4JWorkaround クラスで使用されています。これにより、ローカルユーザーが読み取ることができる安全でないアクセス許可を持つ一時ファイルが作成されます。(CVE-2023-0482)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Redhat Enterprise Linux 7 ホストにインストールされているパッケージは、RHSA-2023: 1512 アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - SnakeYaml: コンストラクター逆シリアル化のリモートコード実行 (CVE-2022-1471)

  - snakeyaml: java.base/java.util.ArrayList.hashCode でキャッチされない例外 (CVE-2022-38752)

  - hsqldb: 信頼できない入力は、RCE 攻撃につながる可能性があります (CVE-2022-41853)

  - dev-java/snakeyaml: スタックオーバーフローによる DoS (CVE-2022-41854)

  - codec-haproxy: HAProxyMessageDecoder スタック枯渇 DoS (CVE-2022-41881)

  - undertow: https 接続のサーバー ID が undertow クライアントによってチェックされません (CVE-2022-4492)

  - apache-james-mime4j: MIME4J TempFileStorageProvider での一時ファイルの情報漏洩 (CVE-2022-45787)

  - RESTEasy: 安全でない一時ファイルの作成 (CVE-2023-0482)

  - Undertow: クローズ中の SslConduit の無限ループ (CVE-2023-1108)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの Redhat Enterprise Linux 9 ホストにインストールされているパッケージは、RHSA-2023: 2707 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - OkHostnameVerifier.java の verifyHostName では、暗号が不適切に使用されているため、間違ったドメインの証明書を受け入れる可能性があります。これにより、追加の実行権限が不要になり、リモート情報漏洩が引き起こされる可能性があります。悪用はユーザーの操作を必要としません。製品: 
    Android。バージョン:  Android-8.1 Android-9 Android-10 Android-11Android ID: A-171980069 (CVE-2021-0341)

  - snakeYAML を使用して信頼できない YAML ファイルを解析すると、サービス拒否攻撃 (DOS) に対して脆弱になる可能性があります。パーサーがユーザー指定の入力で実行している場合、攻撃者がコンテンツを提供し、スタックオーバーフローによりパーサーをクラッシュさせる可能性があります。(CVE-2022-38752)

  - 信頼できない YAML ファイルを解析するために Snakeyaml を使用しているユーザーは、サービス拒否攻撃 (DOS) に対して脆弱である可能性があります。
    パーサーがユーザー指定の入力で実行している場合、攻撃者がコンテンツを提供し、スタックオーバーフローによりパーサーをクラッシュさせる可能性があります。この影響により、サービス拒否攻撃がサポートされる可能性があります。(CVE-2022-41854)

  - Netty プロジェクトは、イベント駆動型非同期ネットワークアプリケーションフレームワークです。4.1.86.Final より前のバージョンでは、無限再帰のために、無効な形式の細工されたメッセージを解析するときに StackOverflowError が発生する可能性があります。この問題には、バージョン 4.1.86.Final でパッチが適用されています。カスタム HaProxyMessageDecoder を使用する以外、回避策はありません。(CVE-2022-41881)

  - undertow クライアントが、https 接続のサーバー証明書によって提示されたサーバー ID をチェックしていません。これは、https および http/2 で必須のステップです (少なくともデフォルトで実行する必要があります)。これを TLS クライアントプロトコルに追加します。(CVE-2022-4492)

  - MIME4J TempFileStorageProvider が使用する一時ファイルに対する不適切な laxist アクセス許可により、他のローカルユーザーへの情報漏洩が発生する可能性があります。この問題は Apache James MIME4J バージョン 0.8.8 と、それ以前のバージョンに影響します。MIME4j バージョン 0.8.9 以降にアップグレードすることをお勧めします。(CVE-2022-45787)

  - RESTEasy では、安全でない File.createTempFile() が、DataSourceProvider、FileProvider、および Mime4JWorkaround クラスで使用されています。これにより、ローカルユーザーが読み取ることができる安全でないアクセス許可を持つ一時ファイルが作成されます。(CVE-2023-0482)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Redhat Enterprise Linux 9 ホストにインストールされているパッケージは、RHSA-2023: 1514 アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - SnakeYaml: コンストラクター逆シリアル化のリモートコード実行 (CVE-2022-1471)

  - snakeyaml: java.base/java.util.ArrayList.hashCode でキャッチされない例外 (CVE-2022-38752)

  - hsqldb: 信頼できない入力は、RCE 攻撃につながる可能性があります (CVE-2022-41853)

  - dev-java/snakeyaml: スタックオーバーフローによる DoS (CVE-2022-41854)

  - codec-haproxy: HAProxyMessageDecoder スタック枯渇 DoS (CVE-2022-41881)

  - undertow: https 接続のサーバー ID が undertow クライアントによってチェックされません (CVE-2022-4492)

  - apache-james-mime4j: MIME4J TempFileStorageProvider での一時ファイルの情報漏洩 (CVE-2022-45787)

  - RESTEasy: 安全でない一時ファイルの作成 (CVE-2023-0482)

  - Undertow: クローズ中の SslConduit の無限ループ (CVE-2023-1108)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートRedhat Enterprise Linux 7ホストに、RHSA-2025:9582アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 7 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 7.1.11 のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.1.10 に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 7.1.11 リリースノート』を参照してください。

    セキュリティ修正プログラム:

    * undertowクエリの特殊文字によってサーバーエラーが発生します [eap-7.1.z]CVE-2020-27782

    * wildflyWildfly Enterprise Java Beans での安全でない逆シリアル化 [eap-7.1.z]CVE-2020-10740

    * libthrift信頼できないペイロードを処理する際の潜在的な DoS [eap-7.1.z]CVE-2020-13949

    * netty-allnetty-codecSnappyFrameDecoder がチャンク長を制限せず、不要な方法でスキップ可能なチャンクをバッファする可能性があります [eap-7.1.z]CVE-2021-37137

    * hibernate-corehibernate.use_sql_comments と JPQL 文字列リテラルの両方が使用されている場合の SQL インジェクションの脆弱性 [eap-7.1.z]CVE-2020-25638

    * wildfly-opensslWildFly OpenSSL での HTTP セッション作成ごとのメモリ漏洩 - WFSSL-51 - 相互認証および OpenSSL によるメモリ漏洩CVE-2020-25644

    * netty-allnetty-codecBzip2Decoder が、展開されたデータに対してサイズ制限を設定することを許可しません [eap-7.1.z]CVE-2021-37136

    * jackson-databind深度の高いネスト化されたオブジェクトによるサービス拒否 [eap-7.1.z]CVE-2020-36518

    * eapJBoss EAPwildfly-elytron に SSRF のセキュリティ問題があります [eap-7.1.z]CVE-2024-1233

    * keycloakorg.keycloak.protocol.oidccheckLoginIframe の未検証のクロスオリジンメッセージが DDoS を引き起こします [eap-7.1.z]CVE-2024-1249

    * undertowhttps 接続のサーバー識別は、undertow クライアントによってチェックされません [eap-7.1.z]CVE-2022-4492

    * undertowAJP リクエストが maxRequestSize を超える接続を切断します [eap-7.1.z]CVE-2023-5379

    * undertowHTTP/2 のフローコントロールにある潜在的なセキュリティ問題が、DOS につながる可能性があります に対する不完全な修正 CVE-2021-3629eap-7.1.zCVE-2022-1259

    * wildfly-elytron安全でないコンパレータの使用によるタイミング攻撃の可能性 [eap-7.1.z]CVE-2022-3143

    * jakarta-elELParserTokenManager により、無効な EL 式を評価できるようにします [eap-7.1.z]CVE-2021-28170

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
173692	RHEL 8: RHEL 8 上の Red Hat JBoss Enterprise Application Platform 7.4.10 (RHSA-2023: 1513)	Nessus	Red Hat Local Security Checks	2023/3/30	2024/11/7	critical
255949	Linux Distros のパッチ未適用の脆弱性: CVE-2022-4492	Nessus	Misc.	2025/8/27	2025/10/22	high
240509	RHEL 7 : Red Hat JBoss Enterprise Application Platform 7.3.14 Security の更新 (重要) (RHSA-2025:9583)	Nessus	Red Hat Local Security Checks	2025/6/25	2025/10/9	high
175557	RHEL 8 : RHEL 8 対応の Red Hat Single Sign-On 7.6.3 のセキュリティ更新 (重要度中) (RHSA-2023: 2706)	Nessus	Red Hat Local Security Checks	2023/5/13	2024/11/7	high
175558	RHEL 7 : RHEL 7 対応の Red Hat Single Sign-On 7.6.3 のセキュリティ更新 (重要度中) (RHSA-2023: 2705)	Nessus	Red Hat Local Security Checks	2023/5/13	2024/11/7	high
173690	RHEL 7: RHEL 7 上の Red Hat JBoss Enterprise Application Platform 7.4.10 (RHSA-2023: 1512)	Nessus	Red Hat Local Security Checks	2023/3/30	2024/11/7	critical
175556	RHEL 9: RHEL 9 対応の Red Hat Single Sign-On 7.6.3 のセキュリティ更新 (重要度中) (RHSA-2023: 2707)	Nessus	Red Hat Local Security Checks	2023/5/13	2024/11/7	high
173691	RHEL 9: RHEL 9 上の Red Hat JBoss Enterprise Application Platform 7.4.10 (RHSA-2023: 1514)	Nessus	Red Hat Local Security Checks	2023/3/30	2024/11/8	critical
240506	RHEL 7 : RHEL 7 上の Red Hat JBoss Enterprise Application Platform 7.1.11 (RHSA-2025:9582)	Nessus	Red Hat Local Security Checks	2025/6/25	2025/10/9	high

検出

プラグインの検索

critical

high

high

high

high

critical

high

critical

high