リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2024:1539-2 のアドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

    バージョン 1.78.1 に更新してください。これには以下の修正が含まれます。

    - CVE-2024-30171: RSA 復号化に対するタイミングサイドチャネル攻撃を修正しました (PKCS#1v1.5 と OAEP の両方)。
    (bsc#1223252)

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:5479 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 8 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 8.0.3のこのリリースは、Red Hat JBoss Enterprise Application Platform 8.0.2に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 8.0.3 リリースノート』を参照してください。

    セキュリティ修正プログラム: 

    * cxf-core: Aegis データバインディングを使用した Apache CXF SSRF の脆弱性 [eap-8.0.z] (CVE-2024-28752)

    * org.bouncycastle-bcprov-jdk18on: Bleichenbacher のタイミングバリアントに対して脆弱な BouncyCastle (Marvin Attack 氏) [eap-8.0.z] (CVE-2024-30171)

    * netty-codec-http: 制限またはスロットリングなしのリソース割り当て [eap-8.0.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on: ScalarUtil クラスの検証での無限ループ ED25519 [eap-8.0.z] (CVE-2024-30172)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle: 細工された F2m パラメーターを含む EC 証明書をインポートすると、サービス拒否が発生する可能性 [eap-8.0.z] (CVE-2024-29857)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート ホストにインストールされている WebLogic Server のバージョン 12.2.1.4.0、14.1.1.0.0、14.1.2.0.0 は、2025 年 1 月の CPU のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - 容易に悪用可能な脆弱性があり、認証されていない攻撃者が T3 である IIOP を介してネットワークにアクセスし、Oracle WebLogic サーバーを侵害する可能性があります。この脆弱性への攻撃が成功した場合、Oracle WebLogic サーバーの乗っ取りが発生する可能性があります。(CVE-2024-23635)

  - 容易に悪用可能な脆弱性により、認証されていない攻撃者が HTTP を介してネットワークにアクセスし、Oracle WebLogic Server を侵害する可能性があります。脆弱性があるのは Oracle WebLogic Server ですが、攻撃により別の製品にも重大な影響を与える可能性があります。(範囲変更) この脆弱性に対する攻撃が成功すると、権限なく Oracle WebLogic Server をハングさせたり、頻繁にクラッシュを繰り返させたりする (完全な DOS) 可能性があります。(CVE-2023-7272)

  - 容易に悪用可能な脆弱性により、認証されていない攻撃者が HTTP を介してネットワークにアクセスし、Oracle WebLogic Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく Oracle WebLogic Server をハングさせたり、頻繁にクラッシュを繰り返させたりする (完全な DOS) 可能性があります。(CVE-2024-47554)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:5144 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 7 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 7.4.18のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.4.17に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 7.4.18 リリースノート』を参照してください。

    セキュリティ修正プログラム:

    * undertow: Java 17 TLSv1.3 NewSessionTicket の場合、応答書き込みがハングアップします [eap-7.4.z] (CVE-2024-5971)

    * undertow: LearningPushHandler がリモートメモリ DoS 攻撃につながる可能性があります [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on: Bleichenbacher のタイミングバリアントに対して脆弱な BouncyCastle (Marvin Attack 氏) [eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle: 細工された F2m パラメーターを含む EC 証明書をインポートすると、サービス拒否が発生する可能性 [eap-7.4.z] (CVE-2024-29857)

    * netty-codec-http: 制限またはスロットリングなしのリソース割り当て [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on: ScalarUtil クラスの検証での無限ループ ED25519 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2: httpd: CONTINUATION フレームの DoS [eap-7.4.z] (CVE-2024-27316)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの SUSE Linux SLED15/ SLED_SAP15 / SLES15/ SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2024:1539-1 のアドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 7 ホストに、RHSA-2024:5143 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 7 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 7.4.18のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.4.17に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 7.4.18 リリースノート』を参照してください。

    セキュリティ修正プログラム:

    * undertow: Java 17 TLSv1.3 NewSessionTicket の場合、応答書き込みがハングアップします [eap-7.4.z] (CVE-2024-5971)

    * undertow: LearningPushHandler がリモートメモリ DoS 攻撃につながる可能性があります [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on: Bleichenbacher のタイミングバリアントに対して脆弱な BouncyCastle (Marvin Attack 氏) [eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle: 細工された F2m パラメーターを含む EC 証明書をインポートすると、サービス拒否が発生する可能性 [eap-7.4.z] (CVE-2024-29857)

    * netty-codec-http: 制限またはスロットリングなしのリソース割り当て [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on: ScalarUtil クラスの検証での無限ループ ED25519 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2: httpd: CONTINUATION フレームの DoS [eap-7.4.z] (CVE-2024-27316)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Bouncy Castle Java TLS API および 1.78より前の JSSE プロバイダーで問題が見つかりました。例外処理のために、RSAベースのハンドシェイクでタイミングベースの漏洩が発生する可能性があります。 （CVE-2024-30171）

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2024:5481 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 8 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 8.0.3のこのリリースは、Red Hat JBoss Enterprise Application Platform 8.0.2に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 8.0.3 リリースノート』を参照してください。

    セキュリティ修正プログラム: 

    * cxf-core: Aegis データバインディングを使用した Apache CXF SSRF の脆弱性 [eap-8.0.z] (CVE-2024-28752)

    * org.bouncycastle-bcprov-jdk18on: Bleichenbacher のタイミングバリアントに対して脆弱な BouncyCastle (Marvin Attack 氏) [eap-8.0.z] (CVE-2024-30171)

    * netty-codec-http: 制限またはスロットリングなしのリソース割り当て [eap-8.0.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on: ScalarUtil クラスの検証での無限ループ ED25519 [eap-8.0.z] (CVE-2024-30172)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle: 細工された F2m パラメーターを含む EC 証明書をインポートすると、サービス拒否が発生する可能性 [eap-8.0.z] (CVE-2024-29857)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2024:5145 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 7 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 7.4.18のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.4.17に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 7.4.18 リリースノート』を参照してください。

    セキュリティ修正プログラム:

    * undertow: Java 17 TLSv1.3 NewSessionTicket の場合、応答書き込みがハングアップします [eap-7.4.z] (CVE-2024-5971)

    * undertow: LearningPushHandler がリモートメモリ DoS 攻撃につながる可能性があります [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on: Bleichenbacher のタイミングバリアントに対して脆弱な BouncyCastle (Marvin Attack 氏) [eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle: 細工された F2m パラメーターを含む EC 証明書をインポートすると、サービス拒否が発生する可能性 [eap-7.4.z] (CVE-2024-29857)

    * netty-codec-http: 制限またはスロットリングなしのリソース割り当て [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on: ScalarUtil クラスの検証での無限ループ ED25519 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2: httpd: CONTINUATION フレームの DoS [eap-7.4.z] (CVE-2024-27316)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
200713	SUSE SLED15/ SLES15/ openSUSE 15 セキュリティ更新: bouncycastle (SUSE-SU-2024:1539-2)	Nessus	SuSE Local Security Checks	2024/6/19	2024/8/20	medium
205637	RHEL 8 : Red Hat JBoss Enterprise Application Platform 8.0.3 Security の更新 (重要) (RHSA-2024:5479)	Nessus	Red Hat Local Security Checks	2024/8/15	2024/11/7	critical
214580	Oracle WebLogic Server (2025 年 1 月 CPU)	Nessus	Misc.	2025/1/24	2025/2/7	medium
205219	RHEL 8 : Red Hat JBoss Enterprise Application Platform 7.4.18 Security の更新 (重要) (RHSA-2024:5144)	Nessus	Red Hat Local Security Checks	2024/8/8	2025/1/3	high
195155	SUSE SLED15/ SLES15/ openSUSE 15 セキュリティ更新: bouncycastle (SUSE-SU-2024:1539-1)	Nessus	SuSE Local Security Checks	2024/5/8	2024/8/20	medium
205218	RHEL 7 : Red Hat JBoss Enterprise Application Platform 7.4.18 Security の更新 (重要) (RHSA-2024:5143)	Nessus	Red Hat Local Security Checks	2024/8/8	2025/1/3	high
232084	Linux Distros のパッチ未適用の脆弱性: CVE-2024-30171	Nessus	Misc.	2025/3/6	2025/9/2	medium
205636	RHEL 9 : Red Hat JBoss Enterprise Application Platform 8.0.3 Security の更新 (重要) (RHSA-2024:5481)	Nessus	Red Hat Local Security Checks	2024/8/15	2024/11/7	critical
205220	RHEL 9 : Red Hat JBoss Enterprise Application Platform 7.4.18 Security の更新 (重要) (RHSA-2024:5145)	Nessus	Red Hat Local Security Checks	2024/8/8	2025/1/3	high

検出

プラグインの検索

medium

critical

medium

high

medium

high

medium

critical

high