リモートの Redhat Enterprise Linux 8 ホストにインストールされているパッケージは、RHSA-2023: 1513 アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - SnakeYaml: コンストラクター逆シリアル化のリモートコード実行 (CVE-2022-1471)

  - snakeyaml: java.base/java.util.ArrayList.hashCode でキャッチされない例外 (CVE-2022-38752)

  - hsqldb: 信頼できない入力は、RCE 攻撃につながる可能性があります (CVE-2022-41853)

  - dev-java/snakeyaml: スタックオーバーフローによる DoS (CVE-2022-41854)

  - codec-haproxy: HAProxyMessageDecoder スタック枯渇 DoS (CVE-2022-41881)

  - undertow: https 接続のサーバー ID が undertow クライアントによってチェックされません (CVE-2022-4492)

  - apache-james-mime4j: MIME4J TempFileStorageProvider での一時ファイルの情報漏洩 (CVE-2022-45787)

  - RESTEasy: 安全でない一時ファイルの作成 (CVE-2023-0482)

  - Undertow: クローズ中の SslConduit の無限ループ (CVE-2023-1108)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの Redhat Enterprise Linux 9 ホストにインストールされているパッケージは、RHSA-2023: 1514 アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - SnakeYaml: コンストラクター逆シリアル化のリモートコード実行 (CVE-2022-1471)

  - snakeyaml: java.base/java.util.ArrayList.hashCode でキャッチされない例外 (CVE-2022-38752)

  - hsqldb: 信頼できない入力は、RCE 攻撃につながる可能性があります (CVE-2022-41853)

  - dev-java/snakeyaml: スタックオーバーフローによる DoS (CVE-2022-41854)

  - codec-haproxy: HAProxyMessageDecoder スタック枯渇 DoS (CVE-2022-41881)

  - undertow: https 接続のサーバー ID が undertow クライアントによってチェックされません (CVE-2022-4492)

  - apache-james-mime4j: MIME4J TempFileStorageProvider での一時ファイルの情報漏洩 (CVE-2022-45787)

  - RESTEasy: 安全でない一時ファイルの作成 (CVE-2023-0482)

  - Undertow: クローズ中の SslConduit の無限ループ (CVE-2023-1108)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの Redhat Enterprise Linux 9 ホストにインストールされているパッケージは、RHSA-2023: 2707 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - OkHostnameVerifier.java の verifyHostName では、暗号が不適切に使用されているため、間違ったドメインの証明書を受け入れる可能性があります。これにより、追加の実行権限が不要になり、リモート情報漏洩が引き起こされる可能性があります。悪用はユーザーの操作を必要としません。製品: 
    Android。バージョン:  Android-8.1 Android-9 Android-10 Android-11Android ID: A-171980069 (CVE-2021-0341)

  - snakeYAML を使用して信頼できない YAML ファイルを解析すると、サービス拒否攻撃 (DOS) に対して脆弱になる可能性があります。パーサーがユーザー指定の入力で実行している場合、攻撃者がコンテンツを提供し、スタックオーバーフローによりパーサーをクラッシュさせる可能性があります。(CVE-2022-38752)

  - 信頼できない YAML ファイルを解析するために Snakeyaml を使用しているユーザーは、サービス拒否攻撃 (DOS) に対して脆弱である可能性があります。
    パーサーがユーザー指定の入力で実行している場合、攻撃者がコンテンツを提供し、スタックオーバーフローによりパーサーをクラッシュさせる可能性があります。この影響により、サービス拒否攻撃がサポートされる可能性があります。(CVE-2022-41854)

  - Netty プロジェクトは、イベント駆動型非同期ネットワークアプリケーションフレームワークです。4.1.86.Final より前のバージョンでは、無限再帰のために、無効な形式の細工されたメッセージを解析するときに StackOverflowError が発生する可能性があります。この問題には、バージョン 4.1.86.Final でパッチが適用されています。カスタム HaProxyMessageDecoder を使用する以外、回避策はありません。(CVE-2022-41881)

  - undertow クライアントが、https 接続のサーバー証明書によって提示されたサーバー ID をチェックしていません。これは、https および http/2 で必須のステップです (少なくともデフォルトで実行する必要があります)。これを TLS クライアントプロトコルに追加します。(CVE-2022-4492)

  - MIME4J TempFileStorageProvider が使用する一時ファイルに対する不適切な laxist アクセス許可により、他のローカルユーザーへの情報漏洩が発生する可能性があります。この問題は Apache James MIME4J バージョン 0.8.8 と、それ以前のバージョンに影響します。MIME4j バージョン 0.8.9 以降にアップグレードすることをお勧めします。(CVE-2022-45787)

  - RESTEasy では、安全でない File.createTempFile() が、DataSourceProvider、FileProvider、および Mime4JWorkaround クラスで使用されています。これにより、ローカルユーザーが読み取ることができる安全でないアクセス許可を持つ一時ファイルが作成されます。(CVE-2023-0482)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Redhat Enterprise Linux 8 ホストにインストールされているパッケージは、RHSA-2023: 2706 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - OkHostnameVerifier.java の verifyHostName では、暗号が不適切に使用されているため、間違ったドメインの証明書を受け入れる可能性があります。これにより、追加の実行権限が不要になり、リモート情報漏洩が引き起こされる可能性があります。悪用はユーザーの操作を必要としません。製品: 
    Android。バージョン:  Android-8.1 Android-9 Android-10 Android-11Android ID: A-171980069 (CVE-2021-0341)

  - snakeYAML を使用して信頼できない YAML ファイルを解析すると、サービス拒否攻撃 (DOS) に対して脆弱になる可能性があります。パーサーがユーザー指定の入力で実行している場合、攻撃者がコンテンツを提供し、スタックオーバーフローによりパーサーをクラッシュさせる可能性があります。(CVE-2022-38752)

  - 信頼できない YAML ファイルを解析するために Snakeyaml を使用しているユーザーは、サービス拒否攻撃 (DOS) に対して脆弱である可能性があります。
    パーサーがユーザー指定の入力で実行している場合、攻撃者がコンテンツを提供し、スタックオーバーフローによりパーサーをクラッシュさせる可能性があります。この影響により、サービス拒否攻撃がサポートされる可能性があります。(CVE-2022-41854)

  - Netty プロジェクトは、イベント駆動型非同期ネットワークアプリケーションフレームワークです。4.1.86.Final より前のバージョンでは、無限再帰のために、無効な形式の細工されたメッセージを解析するときに StackOverflowError が発生する可能性があります。この問題には、バージョン 4.1.86.Final でパッチが適用されています。カスタム HaProxyMessageDecoder を使用する以外、回避策はありません。(CVE-2022-41881)

  - undertow クライアントが、https 接続のサーバー証明書によって提示されたサーバー ID をチェックしていません。これは、https および http/2 で必須のステップです (少なくともデフォルトで実行する必要があります)。これを TLS クライアントプロトコルに追加します。(CVE-2022-4492)

  - MIME4J TempFileStorageProvider が使用する一時ファイルに対する不適切な laxist アクセス許可により、他のローカルユーザーへの情報漏洩が発生する可能性があります。この問題は Apache James MIME4J バージョン 0.8.8 と、それ以前のバージョンに影響します。MIME4j バージョン 0.8.9 以降にアップグレードすることをお勧めします。(CVE-2022-45787)

  - RESTEasy では、安全でない File.createTempFile() が、DataSourceProvider、FileProvider、および Mime4JWorkaround クラスで使用されています。これにより、ローカルユーザーが読み取ることができる安全でないアクセス許可を持つ一時ファイルが作成されます。(CVE-2023-0482)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Redhat Enterprise Linux 7 ホストにインストールされているパッケージは、RHSA-2023: 2705 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - OkHostnameVerifier.java の verifyHostName では、暗号が不適切に使用されているため、間違ったドメインの証明書を受け入れる可能性があります。これにより、追加の実行権限が不要になり、リモート情報漏洩が引き起こされる可能性があります。悪用はユーザーの操作を必要としません。製品: 
    Android。バージョン:  Android-8.1 Android-9 Android-10 Android-11Android ID: A-171980069 (CVE-2021-0341)

  - snakeYAML を使用して信頼できない YAML ファイルを解析すると、サービス拒否攻撃 (DOS) に対して脆弱になる可能性があります。パーサーがユーザー指定の入力で実行している場合、攻撃者がコンテンツを提供し、スタックオーバーフローによりパーサーをクラッシュさせる可能性があります。(CVE-2022-38752)

  - 信頼できない YAML ファイルを解析するために Snakeyaml を使用しているユーザーは、サービス拒否攻撃 (DOS) に対して脆弱である可能性があります。
    パーサーがユーザー指定の入力で実行している場合、攻撃者がコンテンツを提供し、スタックオーバーフローによりパーサーをクラッシュさせる可能性があります。この影響により、サービス拒否攻撃がサポートされる可能性があります。(CVE-2022-41854)

  - Netty プロジェクトは、イベント駆動型非同期ネットワークアプリケーションフレームワークです。4.1.86.Final より前のバージョンでは、無限再帰のために、無効な形式の細工されたメッセージを解析するときに StackOverflowError が発生する可能性があります。この問題には、バージョン 4.1.86.Final でパッチが適用されています。カスタム HaProxyMessageDecoder を使用する以外、回避策はありません。(CVE-2022-41881)

  - undertow クライアントが、https 接続のサーバー証明書によって提示されたサーバー ID をチェックしていません。これは、https および http/2 で必須のステップです (少なくともデフォルトで実行する必要があります)。これを TLS クライアントプロトコルに追加します。(CVE-2022-4492)

  - MIME4J TempFileStorageProvider が使用する一時ファイルに対する不適切な laxist アクセス許可により、他のローカルユーザーへの情報漏洩が発生する可能性があります。この問題は Apache James MIME4J バージョン 0.8.8 と、それ以前のバージョンに影響します。MIME4j バージョン 0.8.9 以降にアップグレードすることをお勧めします。(CVE-2022-45787)

  - RESTEasy では、安全でない File.createTempFile() が、DataSourceProvider、FileProvider、および Mime4JWorkaround クラスで使用されています。これにより、ローカルユーザーが読み取ることができる安全でないアクセス許可を持つ一時ファイルが作成されます。(CVE-2023-0482)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Redhat Enterprise Linux 7 ホストにインストールされているパッケージは、RHSA-2023: 1512 アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - SnakeYaml: コンストラクター逆シリアル化のリモートコード実行 (CVE-2022-1471)

  - snakeyaml: java.base/java.util.ArrayList.hashCode でキャッチされない例外 (CVE-2022-38752)

  - hsqldb: 信頼できない入力は、RCE 攻撃につながる可能性があります (CVE-2022-41853)

  - dev-java/snakeyaml: スタックオーバーフローによる DoS (CVE-2022-41854)

  - codec-haproxy: HAProxyMessageDecoder スタック枯渇 DoS (CVE-2022-41881)

  - undertow: https 接続のサーバー ID が undertow クライアントによってチェックされません (CVE-2022-4492)

  - apache-james-mime4j: MIME4J TempFileStorageProvider での一時ファイルの情報漏洩 (CVE-2022-45787)

  - RESTEasy: 安全でない一時ファイルの作成 (CVE-2023-0482)

  - Undertow: クローズ中の SslConduit の無限ループ (CVE-2023-1108)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
173692	RHEL 8: RHEL 8 上の Red Hat JBoss Enterprise Application Platform 7.4.10 (RHSA-2023: 1513)	Nessus	Red Hat Local Security Checks	2023/3/30	2024/6/3	critical
173691	RHEL 9: RHEL 9 上の Red Hat JBoss Enterprise Application Platform 7.4.10 (RHSA-2023: 1514)	Nessus	Red Hat Local Security Checks	2023/3/30	2024/6/3	critical
175556	RHEL 9: RHEL 9 対応の Red Hat Single Sign-On 7.6.3 のセキュリティ更新 (重要度中) (RHSA-2023: 2707)	Nessus	Red Hat Local Security Checks	2023/5/13	2024/6/3	high
175557	RHEL 8 : RHEL 8 対応の Red Hat Single Sign-On 7.6.3 のセキュリティ更新 (重要度中) (RHSA-2023: 2706)	Nessus	Red Hat Local Security Checks	2023/5/13	2024/6/3	high
175558	RHEL 7 : RHEL 7 対応の Red Hat Single Sign-On 7.6.3 のセキュリティ更新 (重要度中) (RHSA-2023: 2705)	Nessus	Red Hat Local Security Checks	2023/5/13	2024/6/4	high
173690	RHEL 7: RHEL 7 上の Red Hat JBoss Enterprise Application Platform 7.4.10 (RHSA-2023: 1512)	Nessus	Red Hat Local Security Checks	2023/3/30	2024/6/3	critical

検出

プラグインの検索

critical

critical

high

high

high

critical