したがって、ALAS2023-2024-636 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

    ... より前の Bouncy Castle Java Cryptography API で、問題が発見されました。

    注意: https://github.com/bcgit/bc-java/issues/1635NOTE:
    https://www.bouncycastle.org/latest_releases.htmlDEBIANBUG: [1070655] (CVE-2024-29857)

    BC 1.78 より前の Bouncy Castle Java Cryptography API で、問題が発見されました。BCJSSE でエンドポイント識別が有効化になっている場合、(HttpsURLConnection で発生するように) 明示的なホスト名なしで SSL ソケットが作成されると、場合によっては、DNS 解決された IP アドレスに対してホスト名の検証が実行され、DNS ポイズニングが発生する可能性があります。(CVE-2024-34447)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:5479 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 8 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 8.0.3のこのリリースは、Red Hat JBoss Enterprise Application Platform 8.0.2に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 8.0.3 リリースノート』を参照してください。

    セキュリティ修正プログラム: 

    * cxf-core: Aegis データバインディングを使用した Apache CXF SSRF の脆弱性 [eap-8.0.z] (CVE-2024-28752)

    * org.bouncycastle-bcprov-jdk18on: Bleichenbacher のタイミングバリアントに対して脆弱な BouncyCastle (Marvin Attack 氏) [eap-8.0.z] (CVE-2024-30171)

    * netty-codec-http: 制限またはスロットリングなしのリソース割り当て [eap-8.0.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on: ScalarUtil クラスの検証での無限ループ ED25519 [eap-8.0.z] (CVE-2024-30172)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle: 細工された F2m パラメーターを含む EC 証明書をインポートすると、サービス拒否が発生する可能性 [eap-8.0.z] (CVE-2024-29857)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストにインストールされている Enterprise Manager Base Platform の 13.5.0.0 のバージョンは 2025 年 1 月 CPU アドバイザリに記載されている脆弱性の影響を受けます。

  - 1.78 より前の Bouncy Castle Java (BC Java) の ECCurve.java および ECCurve.cs、2.73.6 より前の BC Java LTS、1.0.2.5 より前の BC-FJA、2.3.1 より前の BC C# .Net に問題が見つかりました。細工された F2m パラメーターを含む EC 証明書をインポートすると、曲線パラメーターの評価中に CPU が過剰に消費される可能性があります。(CVE-2024-29857)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 7 ホストに、RHSA-2024:5143 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 7 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 7.4.18のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.4.17に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 7.4.18 リリースノート』を参照してください。

    セキュリティ修正プログラム:

    * undertow: Java 17 TLSv1.3 NewSessionTicket の場合、応答書き込みがハングアップします [eap-7.4.z] (CVE-2024-5971)

    * undertow: LearningPushHandler がリモートメモリ DoS 攻撃につながる可能性があります [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on: Bleichenbacher のタイミングバリアントに対して脆弱な BouncyCastle (Marvin Attack 氏) [eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle: 細工された F2m パラメーターを含む EC 証明書をインポートすると、サービス拒否が発生する可能性 [eap-7.4.z] (CVE-2024-29857)

    * netty-codec-http: 制限またはスロットリングなしのリソース割り当て [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on: ScalarUtil クラスの検証での無限ループ ED25519 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2: httpd: CONTINUATION フレームの DoS [eap-7.4.z] (CVE-2024-27316)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2024:5145 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 7 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 7.4.18のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.4.17に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 7.4.18 リリースノート』を参照してください。

    セキュリティ修正プログラム:

    * undertow: Java 17 TLSv1.3 NewSessionTicket の場合、応答書き込みがハングアップします [eap-7.4.z] (CVE-2024-5971)

    * undertow: LearningPushHandler がリモートメモリ DoS 攻撃につながる可能性があります [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on: Bleichenbacher のタイミングバリアントに対して脆弱な BouncyCastle (Marvin Attack 氏) [eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle: 細工された F2m パラメーターを含む EC 証明書をインポートすると、サービス拒否が発生する可能性 [eap-7.4.z] (CVE-2024-29857)

    * netty-codec-http: 制限またはスロットリングなしのリソース割り当て [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on: ScalarUtil クラスの検証での無限ループ ED25519 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2: httpd: CONTINUATION フレームの DoS [eap-7.4.z] (CVE-2024-27316)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2024:5481 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 8 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 8.0.3のこのリリースは、Red Hat JBoss Enterprise Application Platform 8.0.2に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 8.0.3 リリースノート』を参照してください。

    セキュリティ修正プログラム: 

    * cxf-core: Aegis データバインディングを使用した Apache CXF SSRF の脆弱性 [eap-8.0.z] (CVE-2024-28752)

    * org.bouncycastle-bcprov-jdk18on: Bleichenbacher のタイミングバリアントに対して脆弱な BouncyCastle (Marvin Attack 氏) [eap-8.0.z] (CVE-2024-30171)

    * netty-codec-http: 制限またはスロットリングなしのリソース割り当て [eap-8.0.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on: ScalarUtil クラスの検証での無限ループ ED25519 [eap-8.0.z] (CVE-2024-30172)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle: 細工された F2m パラメーターを含む EC 証明書をインポートすると、サービス拒否が発生する可能性 [eap-8.0.z] (CVE-2024-29857)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストで実行されている Atlassian Confluence Server のバージョンは、CONFSERVER-97723 アドバイザリに記載されている脆弱性の影響を受けます。

  - 1.78 より前の Bouncy Castle Java (BC Java) の ECCurve.java および ECCurve.cs、2.73.6 より前の BC Java LTS、1.0.2.5 より前の BC-FJA、2.3.1 より前の BC C# .Net に問題が見つかりました。細工された F2m パラメーターを含む EC 証明書をインポートすると、曲線パラメーターの評価中に CPU が過剰に消費される可能性があります。(CVE-2024-29857)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - 1.78 より前の Bouncy Castle Java (BC Java) の ECCurve.java および ECCurve.cs、2.73.6 より前の BC Java LTS、1.0.2.5 より前の BC-FJA、2.3.1 より前の BC C# .Net に問題が見つかりました。細工された F2m パラメーターを含む EC 証明書をインポートすると、曲線パラメーターの評価中に CPU が過剰に消費される可能性があります。(CVE-2024-29857)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモート ホストにインストールされている WebLogic Server のバージョン 12.2.1.4.0、14.1.1.0.0、14.1.2.0.0 は、2025 年 1 月の CPU のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - 容易に悪用可能な脆弱性があり、認証されていない攻撃者が T3 である IIOP を介してネットワークにアクセスし、Oracle WebLogic サーバーを侵害する可能性があります。この脆弱性への攻撃が成功した場合、Oracle WebLogic サーバーの乗っ取りが発生する可能性があります。(CVE-2024-23635)

  - 容易に悪用可能な脆弱性により、認証されていない攻撃者が HTTP を介してネットワークにアクセスし、Oracle WebLogic Server を侵害する可能性があります。脆弱性があるのは Oracle WebLogic Server ですが、攻撃により別の製品にも重大な影響を与える可能性があります。(範囲変更) この脆弱性に対する攻撃が成功すると、権限なく Oracle WebLogic Server をハングさせたり、頻繁にクラッシュを繰り返させたりする (完全な DOS) 可能性があります。(CVE-2023-7272)

  - 容易に悪用可能な脆弱性により、認証されていない攻撃者が HTTP を介してネットワークにアクセスし、Oracle WebLogic Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく Oracle WebLogic Server をハングさせたり、頻繁にクラッシュを繰り返させたりする (完全な DOS) 可能性があります。(CVE-2024-47554)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:5144 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 7 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 7.4.18のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.4.17に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 7.4.18 リリースノート』を参照してください。

    セキュリティ修正プログラム:

    * undertow: Java 17 TLSv1.3 NewSessionTicket の場合、応答書き込みがハングアップします [eap-7.4.z] (CVE-2024-5971)

    * undertow: LearningPushHandler がリモートメモリ DoS 攻撃につながる可能性があります [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on: Bleichenbacher のタイミングバリアントに対して脆弱な BouncyCastle (Marvin Attack 氏) [eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle: 細工された F2m パラメーターを含む EC 証明書をインポートすると、サービス拒否が発生する可能性 [eap-7.4.z] (CVE-2024-29857)

    * netty-codec-http: 制限またはスロットリングなしのリソース割り当て [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on: ScalarUtil クラスの検証での無限ループ ED25519 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2: httpd: CONTINUATION フレームの DoS [eap-7.4.z] (CVE-2024-27316)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
200264	Amazon Linux 2023: bouncycastle、bouncycastle-javadoc、bouncycastle-mail (ALAS2023-2024-636)	Nessus	Amazon Linux Local Security Checks	2024/6/10	2025/3/24	high
205637	RHEL 8 : Red Hat JBoss Enterprise Application Platform 8.0.3 Security の更新 (重要) (RHSA-2024:5479)	Nessus	Red Hat Local Security Checks	2024/8/15	2024/11/7	critical
214552	Oracle Enterprise Manager Cloud Control (2025 年 1 月 CPU)	Nessus	Misc.	2025/1/23	2025/1/24	high
205218	RHEL 7 : Red Hat JBoss Enterprise Application Platform 7.4.18 Security の更新 (重要) (RHSA-2024:5143)	Nessus	Red Hat Local Security Checks	2024/8/8	2025/1/3	high
205220	RHEL 9 : Red Hat JBoss Enterprise Application Platform 7.4.18 Security の更新 (重要) (RHSA-2024:5145)	Nessus	Red Hat Local Security Checks	2024/8/8	2025/1/3	high
205636	RHEL 9 : Red Hat JBoss Enterprise Application Platform 8.0.3 Security の更新 (重要) (RHSA-2024:5481)	Nessus	Red Hat Local Security Checks	2024/8/15	2024/11/7	critical
209139	Atlassian Confluence < 7.19.26 / 7.20.x < 8.5.12 / 8.6.x < 8.9.4 / 9.0.1 (CONFSERVER-97723)	Nessus	CGI abuses	2024/10/16	2024/10/16	high
232110	Linux Distros のパッチ未適用の脆弱性: CVE-2024-29857	Nessus	Misc.	2025/3/6	2025/3/6	high
214580	Oracle WebLogic Server (2025 年 1 月 CPU)	Nessus	Misc.	2025/1/24	2025/2/7	medium
205219	RHEL 8 : Red Hat JBoss Enterprise Application Platform 7.4.18 Security の更新 (重要) (RHSA-2024:5144)	Nessus	Red Hat Local Security Checks	2024/8/8	2025/1/3	high

検出

プラグインの検索

high

critical

high

high

high

critical

high

high

medium

high