したがって、ALAS2023-2024-636 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

    ... より前の Bouncy Castle Java Cryptography API で、問題が発見されました。

    注意: https://github.com/bcgit/bc-java/issues/1635NOTE:
    https://www.bouncycastle.org/latest_releases.htmlDEBIANBUG: [1070655] (CVE-2024-29857)

    BC 1.78 より前の Bouncy Castle Java Cryptography API で、問題が発見されました。BCJSSE でエンドポイント識別が有効化になっている場合、(HttpsURLConnection で発生するように) 明示的なホスト名なしで SSL ソケットが作成されると、場合によっては、DNS 解決された IP アドレスに対してホスト名の検証が実行され、DNS ポイズニングが発生する可能性があります。(CVE-2024-34447)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:5479 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 8 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 8.0.3のこのリリースは、Red Hat JBoss Enterprise Application Platform 8.0.2に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 8.0.3 リリースノート』を参照してください。

    セキュリティ修正プログラム: 

    * cxf-core: Aegis データバインディングを使用した Apache CXF SSRF の脆弱性 [eap-8.0.z] (CVE-2024-28752)

    * org.bouncycastle-bcprov-jdk18on: Bleichenbacher のタイミングバリアントに対して脆弱な BouncyCastle (Marvin Attack 氏) [eap-8.0.z] (CVE-2024-30171)

    * netty-codec-http: 制限またはスロットリングなしのリソース割り当て [eap-8.0.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on: ScalarUtil クラスの検証での無限ループ ED25519 [eap-8.0.z] (CVE-2024-30172)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle: 細工された F2m パラメーターを含む EC 証明書をインポートすると、サービス拒否が発生する可能性 [eap-8.0.z] (CVE-2024-29857)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 7 ホストに、RHSA-2024:5143 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 7 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 7.4.18のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.4.17に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 7.4.18 リリースノート』を参照してください。

    セキュリティ修正プログラム:

    * undertow: Java 17 TLSv1.3 NewSessionTicket の場合、応答書き込みがハングアップします [eap-7.4.z] (CVE-2024-5971)

    * undertow: LearningPushHandler がリモートメモリ DoS 攻撃につながる可能性があります [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on: Bleichenbacher のタイミングバリアントに対して脆弱な BouncyCastle (Marvin Attack 氏) [eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle: 細工された F2m パラメーターを含む EC 証明書をインポートすると、サービス拒否が発生する可能性 [eap-7.4.z] (CVE-2024-29857)

    * netty-codec-http: 制限またはスロットリングなしのリソース割り当て [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on: ScalarUtil クラスの検証での無限ループ ED25519 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2: httpd: CONTINUATION フレームの DoS [eap-7.4.z] (CVE-2024-27316)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2024:5481 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 8 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 8.0.3のこのリリースは、Red Hat JBoss Enterprise Application Platform 8.0.2に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 8.0.3 リリースノート』を参照してください。

    セキュリティ修正プログラム: 

    * cxf-core: Aegis データバインディングを使用した Apache CXF SSRF の脆弱性 [eap-8.0.z] (CVE-2024-28752)

    * org.bouncycastle-bcprov-jdk18on: Bleichenbacher のタイミングバリアントに対して脆弱な BouncyCastle (Marvin Attack 氏) [eap-8.0.z] (CVE-2024-30171)

    * netty-codec-http: 制限またはスロットリングなしのリソース割り当て [eap-8.0.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on: ScalarUtil クラスの検証での無限ループ ED25519 [eap-8.0.z] (CVE-2024-30172)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle: 細工された F2m パラメーターを含む EC 証明書をインポートすると、サービス拒否が発生する可能性 [eap-8.0.z] (CVE-2024-29857)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2024:5145 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 7 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 7.4.18のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.4.17に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 7.4.18 リリースノート』を参照してください。

    セキュリティ修正プログラム:

    * undertow: Java 17 TLSv1.3 NewSessionTicket の場合、応答書き込みがハングアップします [eap-7.4.z] (CVE-2024-5971)

    * undertow: LearningPushHandler がリモートメモリ DoS 攻撃につながる可能性があります [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on: Bleichenbacher のタイミングバリアントに対して脆弱な BouncyCastle (Marvin Attack 氏) [eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle: 細工された F2m パラメーターを含む EC 証明書をインポートすると、サービス拒否が発生する可能性 [eap-7.4.z] (CVE-2024-29857)

    * netty-codec-http: 制限またはスロットリングなしのリソース割り当て [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on: ScalarUtil クラスの検証での無限ループ ED25519 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2: httpd: CONTINUATION フレームの DoS [eap-7.4.z] (CVE-2024-27316)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:5144 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 7 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 7.4.18のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.4.17に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 7.4.18 リリースノート』を参照してください。

    セキュリティ修正プログラム:

    * undertow: Java 17 TLSv1.3 NewSessionTicket の場合、応答書き込みがハングアップします [eap-7.4.z] (CVE-2024-5971)

    * undertow: LearningPushHandler がリモートメモリ DoS 攻撃につながる可能性があります [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on: Bleichenbacher のタイミングバリアントに対して脆弱な BouncyCastle (Marvin Attack 氏) [eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle: 細工された F2m パラメーターを含む EC 証明書をインポートすると、サービス拒否が発生する可能性 [eap-7.4.z] (CVE-2024-29857)

    * netty-codec-http: 制限またはスロットリングなしのリソース割り当て [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on: ScalarUtil クラスの検証での無限ループ ED25519 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2: httpd: CONTINUATION フレームの DoS [eap-7.4.z] (CVE-2024-27316)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
200264	Amazon Linux 2023: bouncycastle、bouncycastle-javadoc、bouncycastle-mail (ALAS2023-2024-636)	Nessus	Amazon Linux Local Security Checks	2024/6/10	2024/8/16	high
205637	RHEL 8 : Red Hat JBoss Enterprise Application Platform 8.0.3 Security の更新 (重要) (RHSA-2024:5479)	Nessus	Red Hat Local Security Checks	2024/8/15	2024/8/15	critical
205218	RHEL 7 : Red Hat JBoss Enterprise Application Platform 7.4.18 Security の更新 (重要) (RHSA-2024:5143)	Nessus	Red Hat Local Security Checks	2024/8/8	2024/8/8	high
205636	RHEL 9 : Red Hat JBoss Enterprise Application Platform 8.0.3 Security の更新 (重要) (RHSA-2024:5481)	Nessus	Red Hat Local Security Checks	2024/8/15	2024/8/15	critical
205220	RHEL 9 : Red Hat JBoss Enterprise Application Platform 7.4.18 Security の更新 (重要) (RHSA-2024:5145)	Nessus	Red Hat Local Security Checks	2024/8/8	2024/8/8	high
205219	RHEL 8 : Red Hat JBoss Enterprise Application Platform 7.4.18 Security の更新 (重要) (RHSA-2024:5144)	Nessus	Red Hat Local Security Checks	2024/8/8	2024/8/8	high

検出

プラグインの検索

high

critical

high

critical

high

high