遠端 Redhat Enterprise Linux 8 主機上安裝的多個套件受到 RHSA-2024:5479 公告中提及的多個弱點影響。

    Red Hat JBoss Enterprise Application Platform 8 是一個以 WildFly 應用程式執行時間為基礎的 Java 應用程式平台。本版本 Red Hat JBoss Enterprise Application Platform 8.0.3 是 Red Hat JBoss Enterprise Application Platform 8.0.2 的替代版本，其中包含錯誤修正和增強功能。如需此公告中包含的最重要的錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 8.0.3 版本資訊。

    安全性修正：

    * cxf-core：使用 Aegis 資料繫結的 Apache CXF SSRF 弱點 [eap-8.0.z] (CVE-2024-28752)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 計時變體的影響 (Marvin 攻擊) [eap-8.0.z] (CVE-2024-30171)

    - netty-codec-http：無限制或節流的資源配置問題 [eap-8.0.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on：ScalarUtil 類別的 ED25519 驗證中的無限迴圈問題 [eap-8.0.z] (CVE-2024-30172)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle：匯入包含特製 F2m 參數的 EC 憑證時可能導致拒絕服務 [eap-8.0.z] (CVE-2024-29857)

    如需安全性問題的詳細資料，包括影響、CVSS 分數、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Oracle Business Intelligence Publisher (OAS) 受到 2025 年 1 月 CPU 公告中提及的一个弱點影響。

  - Oracle Analytics 的 Oracle BI Publisher 產品中的弱點 (元件：Development Operations (Spring Framework))。受影響的支援版本是 7.0.0.0.0 和 7.6.0.0.0。此弱點較易攻擊成功，能夠透過 HTTP 存取網路的未經驗證攻擊者可藉此入侵 Oracle BI Publisher。若成功攻擊此弱點，則可能導致接管 Oracle BI Publisher。
    (CVE-2016-1000027)

  - Oracle Analytics 的 Oracle BI Publisher 產品中的弱點 (元件：XML Services (Snowflake JDBC))。受影響的支援版本是 7.0.0.0.0 和 7.6.0.0.0。攻擊此弱點的難度較大，高特權攻擊者可經由 HTTP 存取網路，進而入侵 Oracle BI Publisher。若攻擊成功，攻擊者即可在未經授權的情況下建立、刪除或修改關鍵資料或所有的 Oracle BI Publisher 可存取資料，以及在未經授權的情況下存取關鍵資料或完全存取所有的 Oracle BI Publisher 可存取資料。(CVE-2024-43382)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Enterprise Manager Base Platform 13.5.0.0 版受到 2024 年 10 月 CPU 公告中提及的多個弱點影響。

  - Oracle Enterprise Manager 的 Oracle Enterprise Manager Base Platform 產品中的弱點 (元件：Agent Next Gen (BSAFE Crypto-J))。受影響的支援版本是 13.5.0.0。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證的攻擊者可藉此入侵 Oracle Enterprise Manager Base Platform。若攻擊成功，攻擊者可接管 Oracle Enterprise Manager Base Platform。(CVE-2022-34381)

  - Oracle Enterprise Manager 的 Oracle Enterprise Manager Base Platform 產品中的弱點 (元件：Agent Next Gen (Eclipse Jetty))。受影響的支援版本是 13.5.0.0。攻擊此弱點的難度較小，經由 HTTP/2 存取網路的未經驗證的攻擊者可藉此入侵 Oracle Enterprise Manager Base Platform。攻擊者若成功攻擊此弱點，則可在未經授權的情況下造成 Oracle Enterprise Manager Base Platform 懸置或經常重複性當機 (完全 DOS)。(CVE-2024-22201)

  - Oracle Enterprise Manager 的 Oracle Enterprise Manager Base Platform 產品中的弱點 (元件：Job System (Netty))。受影響的支援版本是 13.5.0.0。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證的攻擊者可藉此入侵 Oracle Enterprise Manager Base Platform。成功攻擊此弱點可導致未經授權即可造成 Oracle Enterprise Manager Base Platform 部分拒絕服務 (部分 DOS)。
    (CVE-2024-29025)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Debian 10 主機上安裝的套件受 dla-3834 公告中提及的一個弱點影響。

    - ------------------------------------------------- ------------------------------------ Debian LTS 公告 DLA-3834-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Markus Koschany 2024 年 6 月 21 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

    套件：netty 版本：1:4.1.33-1+deb10u5 CVE ID：CVE-2024-29025 Debian 錯誤：1068110

    Julien Viet 發現，Java NIO 用戶端/伺服器通訊端架構 Netty 容易受到無限製或節流的資源配置問題影響，這是 HttpPostRequestDecoder 中的資料堆積所導致。攻擊者可利用此問題造成拒絕服務。

    針對 Debian 10 Buster，已在  1:4.1.33-1+deb10u5 版中修正此問題。

    建議您升級 netty 套件。

    如需有關 netty 安全性狀態的詳細資訊，請參閱其安全追蹤頁面：
    https://security-tracker.debian.org/tracker/netty

    有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊，請參閱：https://wiki.debian.org/LTSAttachment:signature.ascDescription: 這是數位簽署的訊息部分

Tenable 已直接從 Debian 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 8 主機上安裝的多個套件受到 RHSA-2024:5144 公告中提及的多個弱點影響。

    Red Hat JBoss Enterprise Application Platform 7 是一個以 WildFly 應用程式執行時間為基礎的 Java 應用程式平台。本版本 Red Hat JBoss Enterprise Application Platform 7.4.18 是 Red Hat JBoss Enterprise Application Platform 7.4.17 的替代版本，其中包含錯誤修正和增強功能。如需此公告中包含的最重要的錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 7.4.18 版本資訊。

    安全性修正：

    * undertow：使用 Java 17 TLSv1.3 NewSessionTicket 時的回應寫入懸置問題 [eap-7.4.z] (CVE-2024-5971)

    * undertow：LearningPushHandler 可導致遠端記憶體 DoS 攻擊 [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 計時變體的影響 (Marvin 攻擊) [eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle：匯入包含特製 F2m 參數的 EC 憑證時可能導致拒絕服務 [eap-7.4.z] (CVE-2024-29857)

    - netty-codec-http：無限製或節流的資源配置問題 [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on：ScalarUtil 類別的 ED25519 驗證中的無限迴圈問題 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2: httpd：CONTINUATION 框架 DoS [eap-7.4.z] (CVE-2024-27316)

    如需安全性問題的詳細資料，包括影響、CVSS 分數、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Ubuntu 16.04 LTS / 18.04 LTS / 20.04 LTS / 22.04 LTS / 24.04 LTS / 24.10 主機上安裝的一個套件受到 USN-7284-1 公告中所提及的多個弱點影響。

    Jonathan Leitschuh 發現，寫入暫存檔時，Netty 未正確處理檔案權限。攻擊者可能會利用此問題來造成敏感資訊洩漏。(CVE-2022-24823)

    據發現，解碼 HTTP 要求時，Netty 未正確處理欄位數目限制。攻擊者可能會利用此問題來造成拒絕服務。此問題只會影響 Ubuntu 16.04 LTS、Ubuntu 18.04 LTS、Ubuntu 20.04 LTS、Ubuntu 22.04 LTS 和 Ubuntu 24.04 LTS。
    (CVE-2024-29025)

Tenable 已直接從 Ubuntu 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 7 主機上安裝的多個套件受到 RHSA-2024:5143 公告中提及的多個弱點影響。

    Red Hat JBoss Enterprise Application Platform 7 是一個以 WildFly 應用程式執行時間為基礎的 Java 應用程式平台。本版本 Red Hat JBoss Enterprise Application Platform 7.4.18 是 Red Hat JBoss Enterprise Application Platform 7.4.17 的替代版本，其中包含錯誤修正和增強功能。如需此公告中包含的最重要的錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 7.4.18 版本資訊。

    安全性修正：

    * undertow：使用 Java 17 TLSv1.3 NewSessionTicket 時的回應寫入懸置問題 [eap-7.4.z] (CVE-2024-5971)

    * undertow：LearningPushHandler 可導致遠端記憶體 DoS 攻擊 [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 計時變體的影響 (Marvin 攻擊) [eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle：匯入包含特製 F2m 參數的 EC 憑證時可能導致拒絕服務 [eap-7.4.z] (CVE-2024-29857)

    - netty-codec-http：無限製或節流的資源配置問題 [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on：ScalarUtil 類別的 ED25519 驗證中的無限迴圈問題 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2: httpd：CONTINUATION 框架 DoS [eap-7.4.z] (CVE-2024-27316)

    如需安全性問題的詳細資料，包括影響、CVSS 分數、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 9 主機上安裝的多個套件受到 RHSA-2024:5145 公告中提及的多個弱點影響。

    Red Hat JBoss Enterprise Application Platform 7 是一個以 WildFly 應用程式執行時間為基礎的 Java 應用程式平台。本版本 Red Hat JBoss Enterprise Application Platform 7.4.18 是 Red Hat JBoss Enterprise Application Platform 7.4.17 的替代版本，其中包含錯誤修正和增強功能。如需此公告中包含的最重要的錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 7.4.18 版本資訊。

    安全性修正：

    * undertow：使用 Java 17 TLSv1.3 NewSessionTicket 時的回應寫入懸置問題 [eap-7.4.z] (CVE-2024-5971)

    * undertow：LearningPushHandler 可導致遠端記憶體 DoS 攻擊 [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 計時變體的影響 (Marvin 攻擊) [eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle：匯入包含特製 F2m 參數的 EC 憑證時可能導致拒絕服務 [eap-7.4.z] (CVE-2024-29857)

    - netty-codec-http：無限製或節流的資源配置問題 [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on：ScalarUtil 類別的 ED25519 驗證中的無限迴圈問題 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2: httpd：CONTINUATION 框架 DoS [eap-7.4.z] (CVE-2024-27316)

    如需安全性問題的詳細資料，包括影響、CVSS 分數、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 9 主機上安裝的多個套件受到 RHSA-2024:5481 公告中提及的多個弱點影響。

    Red Hat JBoss Enterprise Application Platform 8 是一個以 WildFly 應用程式執行時間為基礎的 Java 應用程式平台。本版本 Red Hat JBoss Enterprise Application Platform 8.0.3 是 Red Hat JBoss Enterprise Application Platform 8.0.2 的替代版本，其中包含錯誤修正和增強功能。如需此公告中包含的最重要的錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 8.0.3 版本資訊。

    安全性修正：

    * cxf-core：使用 Aegis 資料繫結的 Apache CXF SSRF 弱點 [eap-8.0.z] (CVE-2024-28752)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 計時變體的影響 (Marvin 攻擊) [eap-8.0.z] (CVE-2024-30171)

    - netty-codec-http：無限制或節流的資源配置問題 [eap-8.0.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on：ScalarUtil 類別的 ED25519 驗證中的無限迴圈問題 [eap-8.0.z] (CVE-2024-30172)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle：匯入包含特製 F2m 參數的 EC 憑證時可能導致拒絕服務 [eap-8.0.z] (CVE-2024-29857)

    如需安全性問題的詳細資料，包括影響、CVSS 分數、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - Netty 是一種非同步事件驅動型網路應用程式架構，適用於快速開發可維護的高效能通訊協定伺服器和用戶端。`HttpPostRequestDecoder` 可遭誘騙而累積資料。雖然解碼器可在如此設定的情況下將項目儲存在磁碟上，但對於表單可擁有的欄位數量沒有限制，附件可以傳送由許多小欄位組成的區塊 post，這些欄位將累積在 `bodyListHttpData` 清單中。解碼器會累積 `undecodedChunk` 緩衝區中的位元組，直到其可解碼欄位為止，此欄位可無限制地累積資料。此弱點已在 4.1.108.Final 中修正。 (CVE-2024-29025)

請注意，Nessus 依賴供應商報告的套件存在。

遠端主機上安裝的 Coherence 12.2.1.4.0 和 14.1.1.0.0 版本受到 2024 年 7 月 CPU 公告中提及的多個弱點影響。

  - Oracle Fusion Middleware 的 Oracle Coherence 產品中的弱點 (元件：第三方 (Eclipse Jetty))。
    受影響的支援版本是 12.2.1.4.0 和 14.1.1.0.0。攻擊此弱點的難度較小，經由 HTTP/2 存取網路的未經驗證的攻擊者可藉此入侵 Oracle Coherence。若攻擊成功，攻擊者可在未經授權的情況下造成 Oracle Coherence 懸置或經常重複性當機 (完全 DOS)。(CVE-2024-22201)

  - Oracle Fusion Middleware 的 Oracle Coherence 產品中的弱點 (元件：第三方 (Netty))。受影響的支援版本是 12.2.1.4.0 和 14.1.1.0.0。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證攻擊者可藉以入侵 Oracle Coherence。若攻擊成功，攻擊者未經授權即可造成 Oracle Coherence 局部拒絕服務 (局部 DOS)。(CVE-2024-29025)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名稱	產品	系列	已發布	已更新	嚴重性
205637	RHEL 8：Red Hat JBoss Enterprise Application Platform 8.0.3 安全性更新 (重要) (RHSA-2024:5479)	Nessus	Red Hat Local Security Checks	2024/8/15	2024/11/7	critical
214596	Oracle Business Intelligence Publisher 7.0 / 7.6 (OAS) (2025 年 1 月 CPU)	Nessus	Misc.	2025/1/24	2025/7/31	high
209256	Oracle Enterprise Manager Cloud Control (2024 年 10 月 CPU)	Nessus	Misc.	2024/10/17	2024/10/18	critical
200859	Debian dla-3834：libnetty-java - 安全性更新	Nessus	Debian Local Security Checks	2024/6/22	2024/6/22	medium
205219	RHEL 8：Red Hat JBoss Enterprise Application Platform 7.4.18 安全性更新 (重要) (RHSA-2024:5144)	Nessus	Red Hat Local Security Checks	2024/8/8	2025/1/3	high
216685	Ubuntu 16.04 LTS / 18.04 LTS / 20.04 LTS / 22.04 LTS / 24.04 LTS / 24.10：Netty 的弱點 (USN-7284-1)	Nessus	Ubuntu Local Security Checks	2025/2/24	2025/9/3	medium
205218	RHEL 7：Red Hat JBoss Enterprise Application Platform 7.4.18 安全性更新 (重要) (RHSA-2024:5143)	Nessus	Red Hat Local Security Checks	2024/8/8	2025/1/3	high
205220	RHEL 9：Red Hat JBoss Enterprise Application Platform 7.4.18 安全性更新 (重要) (RHSA-2024:5145)	Nessus	Red Hat Local Security Checks	2024/8/8	2025/1/3	high
205636	RHEL 9：Red Hat JBoss Enterprise Application Platform 8.0.3 安全性更新 (重要) (RHSA-2024:5481)	Nessus	Red Hat Local Security Checks	2024/8/15	2024/11/7	critical
228179	Linux Distros 未修補弱點：CVE-2024-29025	Nessus	Misc.	2025/3/5	2025/9/1	medium
202702	Oracle Coherence (2024 年 7 月 CPU)	Nessus	Misc.	2024/7/19	2024/7/22	high

偵測

搜尋 Plugin

critical

high

critical

medium

high

medium

high

high

critical

medium

high