遠端 Redhat Enterprise Linux 7 主機已安裝受到多個弱點影響的套件，如 RHSA-2024:10207 公告中所提及。

    Red Hat JBoss Enterprise Application Platform 7 是一個以 WildFly 應用程式執行時間為基礎的 Java 應用程式平台。本版本 Red Hat JBoss Enterprise Application Platform 7.3.11 是 Red Hat JBoss Enterprise Application Platform 7.3.10 的替代版本，其中包含錯誤修正和增強功能。如需此公告中包含的最重要的錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 7.3.11 版本資訊。

    安全性修正：

    * cxf-core：使用 Aegis 資料繫結的 Apache CXF SSRF 弱點 [eap-7.3.z] (CVE-2024-28752)

    * h2：透過 JNDI 從遠端伺服器載入自訂類別 [eap-7.3.z] (CVE-2022-23221)

    * log4j：Chainsaw 記錄檢視器中的不安全還原序列化缺陷 [eap-7.3.z] (CVE-2022-23307)

    * log4j：應用程式設定為使用 JDBCAppender 時，Log4j 1.x 中發生 SQL 插入攻擊 [eap-7.3.z] (CVE-2022-23305)

    * log4j：應用程式設定為使用 JMSAppender 時，Log4j 1.x 中出現遠端程式碼執行問題 [eap-7.3.z] (CVE-2021-4104)

    * CXF：Apache CXF：SSRF 弱點 [eap-7.3.z] (CVE-2022-46364)

    * log4j：log4j1-chainsaw, log4j1-socketappender：透過 hashmap 記錄發生的 DoS [eap-7.3.z] (CVE-2023-26464)

    * xalan：Xalan-J 中存在整數截斷問題 (JAXP，8285407) [eap-7.3.z] (CVE-2022-34169)

    * xnio：當通知程式狀態鏈過大而出現問題時，會發生堆疊溢位例外狀況 [eap-7.3.z] (CVE-2023-5685)

    * hsqldb：未受信任的輸入可能導致 RCE 攻擊 [eap-7.3.z] (CVE-2022-41853)

    * 伺服器：eap-7：透過還原序列化造成堆積耗盡 [eap-7.3.z] (CVE-2023-3171)

    * avro：apache-avro：Apache Avro Java SDK：在 Avro Java SDK 中還原序列化未受信任的資料時發生記憶體錯誤 [eap-7.3.z] (CVE-2023-39410)

    * undertow：透過在 HTTP 和 HTTP2 呼叫 EJB 時引起用戶端叫用逾時問題 [eap-7.3.z] (CVE-2021-3859)

    * avro：apache-avro：配置剖析可能觸發遠端程式碼執行 (RCE) [eap-7.3.z] (CVE-2024-47561)

    如需安全性問題的詳細資料，包括影響、CVSS 分數、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

RHEL 7：Red Hat JBoss Enterprise Application Platform 7.3.11 安全性更新 (重要) (RHSA-2024:10207)

critical Nessus Plugin ID 211908

版本 1.2