リモートホストで実行されているApache Log4jのバージョンは、 <  2.13.2です。そのため、log4j SMTP appenderの不適切な証明書照合の脆弱性の影響を受けます。攻撃者がこの脆弱性を利用して、中間者攻撃を実行する可能性があります。

Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートホストにインストールされているWebLogicServerのバージョンは、2020年10月のCPUアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - コンソールコンポーネントに、詳細不明の脆弱性が存在します。認証されていないリモートの攻撃者がHTTPを介したネットワークアクセスによりこの問題を悪用し、サーバーを侵害する可能性があります。この脆弱性への攻撃が成功した場合、Oracle WebLogicサーバーの乗っ取りが発生する可能性があります。 (CVE-2020-14750、CVE-2020-14882 )

  - コアコンポーネントに、詳細不明の脆弱性が存在します。認証されていないリモートの攻撃者が、IIOPおよびT3プロトコルを介してこの問題を悪用し、サーバーを侵害する可能性があります。この脆弱性への攻撃が成功した場合、Oracle WebLogicサーバーの乗っ取りが発生する可能性があります。 (CVE-2020-14859 )

  - コアコンポーネントに、詳細不明の脆弱性が存在します。認証されていないリモートの攻撃者が、IIOPプロトコルを介してこの問題を悪用し、サーバーを侵害する可能性があります。この脆弱性への攻撃が成功した場合、Oracle WebLogicサーバーの乗っ取りが発生する可能性があります。 (CVE-2020-14841 )

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートホストにインストールされている Primavera Gateway のバージョン 16.2.0-16.2.11、17.12.0-17.12.7、18.8.0-18.8.9、および 19.12.0-19.12.4 は、2020 年 7 月の CPU アドバイザリーに記載されている複数の脆弱性の影響を受けます。

  - Oracleコンストラクションおよびエンジニアリングの Primavera Gateway 製品の脆弱性（コンポーネント: Admin（Apache Ant））。サポートされているバージョンで影響を受けるのは、16.2.0-16.2.11および17.12.0-17.12.7です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を使用してネットワークにアクセスし、Primavera Gateway を侵害する可能性があります。
    この脆弱性に対する攻撃が成功すると、Primavera Gateway の乗っ取りが発生する可能性があります。

  - Oracleコンストラクションおよびエンジニアリングの Primavera Gateway 製品の脆弱性（コンポーネント: Admin（jQuery））。サポートされているバージョンで影響を受けるのは、16.2.0-16.2.11、17.12.0-17.12.7、18.8.0-18.8.9、および 19.12.0-19.12.4 です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を使用してネットワークにアクセスし、Primavera Gateway を侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要です。また、脆弱性が存在するのは Primavera Gateway ですが、攻撃が他の製品に大きな影響を与える可能性があります。
    この脆弱性に対する攻撃が成功すると、権限なしで Primavera Gateway がアクセスできる一部のデータにアクセスして更新、挿入、削除されたり、さらに Primavera Gateway がアクセスできるデータのサブセットに権限なしでアクセスされ読み取られたりする可能性があります。

  - Oracleコンストラクションおよびエンジニアリングの Primavera Gateway 製品の脆弱性（コンポーネント: Admin（Log4j））。
    サポートされているバージョンで影響を受けるのは、16.2.0-16.2.11、17.12.0-17.12.7、18.8.0-18.8.9、および 19.12.0-19.12.4 です。
    悪用が難しい脆弱性ですが、認証されていない攻撃者が SMTPS を使用してネットワークにアクセスし、Primavera Gatewayを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Primavera Gateway がアクセスできるサブセットのデータが、不正に読み取りアクセスされる可能性があります。

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの Debian 10 / 11 ホストには、dsa-5020 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - Apache Log4j SMTP アペンダーのホスト不一致を伴う証明書の不適切な検証。これにより、SMTPS 接続が中間者攻撃によって傍受され、そのアペンダーを通じて送信されたログメッセージが漏洩する可能性があります。 (CVE-2020-9488)

  - 構成、ログメッセージ、およびパラメーターで使用される Apache Log4j2 <=2.14.1 JNDI 機能は、攻撃者が制御する LDAP およびその他の JNDI 関連のエンドポイントから保護しません。メッセージ検索置換が有効な場合、ログメッセージまたはログメッセージパラメーターを制御できる攻撃者が、LDAP サーバーからロードされた任意のコードを実行する可能性があります。log4j 2.15.0以降、この動作はデフォルトで無効になっています。以前のリリース (>2.10) では、システムプロパティ log4j2.formatMsgNoLookups を true に設定するか、JndiLookup クラスをクラスパスから削除することで、この動作を緩和できます (例：zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class)。Java 8u121 ( https://www.oracle.com/java/technologies/javase/8u121-relnotes.htmlを参照) は、com.sun.jndi.rmi.object.trustURLCodebase およびcom.sun.jndi.cosnaming.object.trustURLCodebase を false にデフォルト設定することで、リモートコードの実行から保護します。 (CVE-2021-44228)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートホストにインストールされているOracle E-Business Suiteのバージョンは、2021年4月のCPUアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Oracle E-Business SuiteのOracle Applications Framework製品に存在する脆弱性（コンポーネント：
    ホームページ）。サポートされているバージョンで影響を受けるのは12.2.10です。容易に悪用可能な脆弱性があり、認証されていない攻撃者がHTTPを介してネットワークにアクセスし、Oracle Applications Frameworkを侵害する可能性があります。
    この脆弱性に対する攻撃が成功すると、重要なデータやOracle Applications Frameworkがアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があるとともに、権限なしで重要なデータにアクセスできるようになったり、Oracle Applications Frameworkがアクセスできるすべてのデータに完全にアクセスできるようになったりする可能性があります。
    （CVE-2021-2200）

  - Oracle E-Business SuiteのOracle Marketing製品に存在する脆弱性（コンポーネント：マーケティング管理）。サポートされているバージョンで影響を受けるのは、12.2.7-12.2.10です。容易に悪用可能な脆弱性があり、認証されていない攻撃者がHTTPを介してネットワークにアクセスし、Oracle Marketingを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータやOracle Marketingがアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があるとともに、権限なしで重要なデータにアクセスできるようになったり、Oracle Marketingがアクセスできるすべてのデータに完全にアクセスできるようになったりする可能性があります。（CVE-2021-2205）

  - Oracle E-Business SuiteのOracle Email Center製品に存在する脆弱性（コンポーネント：メッセージ表示）。サポートされているバージョンで影響を受けるのは、12.1.1-12.1.3および12.2.3-12.2.10です。容易に悪用可能な脆弱性により、権限の低い攻撃者がHTTPを介してネットワークにアクセスし、Oracle Email Centerを侵害する可能性があります。この脆弱性がOracle Email Centerに存在する間は、攻撃により別の製品にも重大な影響を与える可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータへの不正なアクセス、アクセス可能なすべてのOracle Email Centerデータへの完全なアクセスに加え、Oracle Email Centerのアクセス可能な一部のデータへの不正な更新、挿入、削除アクセスを引き起こす可能性があります。（CVE-2021-2209）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

自己報告されたバージョン番号によると、リモートホストの Apache Log4j のインストールは 1.xであり、すでにサポート対象外です。Log4j は、2016 年より前にサポートが終了しました。加えて、Log4j 1.xは以下を含むの複数の脆弱性の影響を受けます。

  - Log4j には、シリアル化されたログイベントを受け入れ、オブジェクトが許可されているかどうかを検証せずに逆シリアル化する SocketServer が含まれています。これにより、悪用可能な攻撃ベクトルが提供される可能性があります。 (CVE-2019-17571)

  - Apache Log4j SMTP アペンダーのホスト不一致を伴う証明書の不適切な検証。これにより、SMTPS 接続が中間者攻撃によって傍受され、そのアペンダーを通じて送信されたログメッセージが漏洩する可能性があります。 (CVE-2020-9488)

  - JMSSink は保護されていない方法で JNDI を使用するため、信頼できないサイトを参照するように構成されている場合、または攻撃者が参照されているサイトにアクセスできる場合、JMSSink を使用するアプリケーションが脆弱になる可能性があります。
    (CVE-2022-23302)

サポートされていないため、この製品の新しいセキュリティパッチはベンダーからリリースされません。その結果、セキュリティの脆弱性が含まれている可能性があります。

リモートホストにインストールされているPrimavera Unifierのバージョン16.1-16.2、17.7-17.12、18.8、および19.12は、2020年10月のCPUアドバイザリーに記載されている複数の脆弱性の影響を受けます。

  - Oracleコンストラクションおよびエンジニアリングの Primavera Unifier 製品の脆弱性（コンポーネント: プラットフォーム（Apache Derby））。サポートされているバージョンで影響を受けるのは、16.1-16.2、17.7-17.12、18.8、および19.12です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を使用してネットワークにアクセスし、Primavera Unifier を侵害する可能性があります。この脆弱性を利用した攻撃に成功すると、権限なしに重要なデータに不正にアクセスしたり、Primavera Unifierのすべてのアクセス可能なデータにフルアクセスしたり、Primavera Unifierでハングや頻繁に繰り返すクラッシュ（完全なDOS）を引き起こしたりする可能性があります。（CVE-2015-1832）

  - Oracleコンストラクションおよびエンジニアリングの Primavera Unifier 製品の脆弱性（コンポーネント: プラットフォーム（iText））。サポートされているバージョンで影響を受けるのは、16.1-16.2、17.7-17.12、18.8、および19.12です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を使用してネットワークにアクセスし、Primavera Unifier を侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。
    この脆弱性に対する攻撃が成功すると、Primavera Unifier の乗っ取りが発生する可能性があります。（CVE-2017-9096）

  - Oracleコンストラクションおよびエンジニアリングの Primavera Unifier 製品の脆弱性（コンポーネント: プラットフォーム（Apache Solr））。サポートされているバージョンで影響を受けるのは、16.1-16.2、17.7-17.12、18.8、および19.12です。悪用が難しい脆弱性ですが、権限の低い攻撃者がHTTPを使用してネットワークにアクセスし、Primavera Unifierを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Primavera Unifierの乗っ取りが発生する可能性があります。
    (CVE-2019-17558)

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの Debian 9 ホストには、dla-2852 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - Apache Log4j SMTP アペンダーのホスト不一致を伴う証明書の不適切な検証。これにより、SMTPS 接続が中間者攻撃によって傍受され、そのアペンダーを通じて送信されたログメッセージが漏洩する可能性があります。(CVE-2020-9488)

  - 2.16.0 までの Apache Log4j2 バージョン 2.0-alpha1 (2.12.3 を除く) では、自己参照検索からの制御されていない再帰に対して保護がなされていませんでした。これにより、細工された文字列が解釈される際に、スレッドコンテキストマップデータをコントロールできる攻撃者がサービス拒否を引き起こす可能性があります。この問題は、Log4j 2.17.0 および 2.12.3 で修正されました。(CVE-2021-45105)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの Redhat Enterprise Linux 6 / 8 ホストにインストールされているパッケージは、RHSA-2020: 3817アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - jackson-databind: org.apache.openjpa.ee.WASRegistryManagedRuntimeのシリアル化ガジェット（CVE-2020-11113）

  - wildfly: 一部のEJBトランザクションオブジェクトが蓄積され、サービス拒否を引き起こす可能性があります（CVE-2020-14297）

  - wildfly: 応答の受信後にEJB SessionOpenInvocationsが適切に削除されないためにサービス拒否が引き起こされる可能性があります（CVE-2020-14307）

  - log4j: SMTPアペンダーのホスト不一致を伴う証明書の不適切な検証（CVE-2020-9488）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
164607	Nutanix AOS : 複数の脆弱性 (NXSA-AOS-6.0.2.6)	Nessus	Misc.	2022/9/1	2024/3/25	critical
136424	Apache Log4j < 2.13.2 不適切な証明書照合	Nessus	Misc.	2020/5/8	2022/12/5	low
165276	Nutanix AOS : 複数の脆弱性 (NXSA-AOS-5.20.3.5)	Nessus	Misc.	2022/9/21	2024/3/25	critical
141807	Oracle WebLogic Serverの複数の脆弱性 (2020年10月CPU )	Nessus	Misc.	2020/10/22	2024/3/14	critical
138526	Oracle Primavera Gateway（2020 年 7 月 CPU）	Nessus	CGI abuses	2020/7/16	2022/12/5	critical
156015	Debian DSA-5020-1: apache-log4j2 - セキュリティ更新	Nessus	Debian Local Security Checks	2021/12/12	2023/2/17	critical
148952	Oracle E-Business Suiteの複数の脆弱性（2021年4月CPU）	Nessus	Misc.	2021/4/23	2024/1/3	critical
156860	Apache Log4j 1.x の複数の脆弱性	Nessus	Misc.	2022/1/19	2023/11/20	critical
164601	Nutanix AOS : 複数の脆弱性 (NXSA-AOS-5.20.4)	Nessus	Misc.	2022/9/1	2024/3/25	critical
141641	Oracle Primavera Unifier (2020 年 10 月 CPU)	Nessus	CGI abuses	2020/10/21	2023/4/25	critical
156396	Debian DLA-2852-1 : apache-log4j2 - LTS セキュリティ更新	Nessus	Debian Local Security Checks	2021/12/30	2022/12/5	low
140747	RHEL 6 / 8 : AMQクライアント 2.8.0リリース（重要度中）（RHSA-2020: 3817)	Nessus	Red Hat Local Security Checks	2020/9/23	2024/4/28	high
164572	Nutanix AOS : 複数の脆弱性 (NXSA-AOS-6.1.1)	Nessus	Misc.	2022/9/1	2024/5/16	critical

検出

プラグインの検索

critical

low

critical

critical

critical

critical

critical

critical

critical

critical

low

high

critical