リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:5479 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 8 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 8.0.3のこのリリースは、Red Hat JBoss Enterprise Application Platform 8.0.2に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 8.0.3 リリースノート』を参照してください。

    セキュリティ修正プログラム: 

    * cxf-core: Aegis データバインディングを使用した Apache CXF SSRF の脆弱性 [eap-8.0.z] (CVE-2024-28752)

    * org.bouncycastle-bcprov-jdk18on: Bleichenbacher のタイミングバリアントに対して脆弱な BouncyCastle (Marvin Attack 氏) [eap-8.0.z] (CVE-2024-30171)

    * netty-codec-http: 制限またはスロットリングなしのリソース割り当て [eap-8.0.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on: ScalarUtil クラスの検証での無限ループ ED25519 [eap-8.0.z] (CVE-2024-30172)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle: 細工された F2m パラメーターを含む EC 証明書をインポートすると、サービス拒否が発生する可能性 [eap-8.0.z] (CVE-2024-29857)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート ホストにインストールされている WebLogic Server のバージョン 12.2.1.4.0、14.1.1.0.0、14.1.2.0.0 は、2025 年 1 月の CPU のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - 容易に悪用可能な脆弱性があり、認証されていない攻撃者が T3 である IIOP を介してネットワークにアクセスし、Oracle WebLogic サーバーを侵害する可能性があります。この脆弱性への攻撃が成功した場合、Oracle WebLogic サーバーの乗っ取りが発生する可能性があります。(CVE-2024-23635)

  - 容易に悪用可能な脆弱性により、認証されていない攻撃者が HTTP を介してネットワークにアクセスし、Oracle WebLogic Server を侵害する可能性があります。脆弱性があるのは Oracle WebLogic Server ですが、攻撃により別の製品にも重大な影響を与える可能性があります。(範囲変更) この脆弱性に対する攻撃が成功すると、権限なく Oracle WebLogic Server をハングさせたり、頻繁にクラッシュを繰り返させたりする (完全な DOS) 可能性があります。(CVE-2023-7272)

  - 容易に悪用可能な脆弱性により、認証されていない攻撃者が HTTP を介してネットワークにアクセスし、Oracle WebLogic Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく Oracle WebLogic Server をハングさせたり、頻繁にクラッシュを繰り返させたりする (完全な DOS) 可能性があります。(CVE-2024-47554)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストに、RHSA-2024:5144 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 7 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 7.4.18のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.4.17に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 7.4.18 リリースノート』を参照してください。

    セキュリティ修正プログラム:

    * undertow: Java 17 TLSv1.3 NewSessionTicket の場合、応答書き込みがハングアップします [eap-7.4.z] (CVE-2024-5971)

    * undertow: LearningPushHandler がリモートメモリ DoS 攻撃につながる可能性があります [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on: Bleichenbacher のタイミングバリアントに対して脆弱な BouncyCastle (Marvin Attack 氏) [eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle: 細工された F2m パラメーターを含む EC 証明書をインポートすると、サービス拒否が発生する可能性 [eap-7.4.z] (CVE-2024-29857)

    * netty-codec-http: 制限またはスロットリングなしのリソース割り当て [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on: ScalarUtil クラスの検証での無限ループ ED25519 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2: httpd: CONTINUATION フレームの DoS [eap-7.4.z] (CVE-2024-27316)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - 1.78 より前の Bouncy Castle Java Cryptography API で、問題が発見されました。細工された署名と公開鍵を介して、Ed25519 検証コードの無限ループが発生する可能性があります。(CVE-2024-30172)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモート Redhat Enterprise Linux 7 ホストに、RHSA-2024:5143 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 7 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 7.4.18のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.4.17に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 7.4.18 リリースノート』を参照してください。

    セキュリティ修正プログラム:

    * undertow: Java 17 TLSv1.3 NewSessionTicket の場合、応答書き込みがハングアップします [eap-7.4.z] (CVE-2024-5971)

    * undertow: LearningPushHandler がリモートメモリ DoS 攻撃につながる可能性があります [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on: Bleichenbacher のタイミングバリアントに対して脆弱な BouncyCastle (Marvin Attack 氏) [eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle: 細工された F2m パラメーターを含む EC 証明書をインポートすると、サービス拒否が発生する可能性 [eap-7.4.z] (CVE-2024-29857)

    * netty-codec-http: 制限またはスロットリングなしのリソース割り当て [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on: ScalarUtil クラスの検証での無限ループ ED25519 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2: httpd: CONTINUATION フレームの DoS [eap-7.4.z] (CVE-2024-27316)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストで実行されている Atlassian Confluence Server のバージョンは、CONFSERVER-98481 アドバイザリに記載されている脆弱性の影響を受けます。

  - 1.78 より前の Bouncy Castle Java Cryptography API で、問題が発見されました。細工された署名と公開鍵を介して、Ed25519 検証コードの無限ループが発生する可能性があります。(CVE-2024-30172)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2024:5481 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 8 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 8.0.3のこのリリースは、Red Hat JBoss Enterprise Application Platform 8.0.2に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 8.0.3 リリースノート』を参照してください。

    セキュリティ修正プログラム: 

    * cxf-core: Aegis データバインディングを使用した Apache CXF SSRF の脆弱性 [eap-8.0.z] (CVE-2024-28752)

    * org.bouncycastle-bcprov-jdk18on: Bleichenbacher のタイミングバリアントに対して脆弱な BouncyCastle (Marvin Attack 氏) [eap-8.0.z] (CVE-2024-30171)

    * netty-codec-http: 制限またはスロットリングなしのリソース割り当て [eap-8.0.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on: ScalarUtil クラスの検証での無限ループ ED25519 [eap-8.0.z] (CVE-2024-30172)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle: 細工された F2m パラメーターを含む EC 証明書をインポートすると、サービス拒否が発生する可能性 [eap-8.0.z] (CVE-2024-29857)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2024:5145 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 7 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 7.4.18のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.4.17に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 7.4.18 リリースノート』を参照してください。

    セキュリティ修正プログラム:

    * undertow: Java 17 TLSv1.3 NewSessionTicket の場合、応答書き込みがハングアップします [eap-7.4.z] (CVE-2024-5971)

    * undertow: LearningPushHandler がリモートメモリ DoS 攻撃につながる可能性があります [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on: Bleichenbacher のタイミングバリアントに対して脆弱な BouncyCastle (Marvin Attack 氏) [eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle: 細工された F2m パラメーターを含む EC 証明書をインポートすると、サービス拒否が発生する可能性 [eap-7.4.z] (CVE-2024-29857)

    * netty-codec-http: 制限またはスロットリングなしのリソース割り当て [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on: ScalarUtil クラスの検証での無限ループ ED25519 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2: httpd: CONTINUATION フレームの DoS [eap-7.4.z] (CVE-2024-27316)

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
205637	RHEL 8 : Red Hat JBoss Enterprise Application Platform 8.0.3 Security の更新 (重要) (RHSA-2024:5479)	Nessus	Red Hat Local Security Checks	2024/8/15	2024/11/7	critical
214580	Oracle WebLogic Server (2025 年 1 月 CPU)	Nessus	Misc.	2025/1/24	2025/2/7	medium
205219	RHEL 8 : Red Hat JBoss Enterprise Application Platform 7.4.18 Security の更新 (重要) (RHSA-2024:5144)	Nessus	Red Hat Local Security Checks	2024/8/8	2025/1/3	high
232064	Linux Distros のパッチ未適用の脆弱性: CVE-2024-30172	Nessus	Misc.	2025/3/6	2025/8/31	high
205218	RHEL 7 : Red Hat JBoss Enterprise Application Platform 7.4.18 Security の更新 (重要) (RHSA-2024:5143)	Nessus	Red Hat Local Security Checks	2024/8/8	2025/1/3	high
211904	Atlassian Confluence 7.19.x < 7.19.26 / 7.20.x < 8.5.12 / 8.6.x < 8.9.4 / 9.0.x < 9.0.1 (CONFSERVER-98481)	Nessus	CGI abuses	2024/11/27	2024/11/27	high
205636	RHEL 9 : Red Hat JBoss Enterprise Application Platform 8.0.3 Security の更新 (重要) (RHSA-2024:5481)	Nessus	Red Hat Local Security Checks	2024/8/15	2024/11/7	critical
205220	RHEL 9 : Red Hat JBoss Enterprise Application Platform 7.4.18 Security の更新 (重要) (RHSA-2024:5145)	Nessus	Red Hat Local Security Checks	2024/8/8	2025/1/3	high

検出

プラグインの検索

critical

medium

high

high

high

high

critical

high