因此，會受到 ALAS2023-2024-636 公告中所提及的多個弱點影響。

    在 Bouncy Castle Java Cryptography API … 之前的版本中發現一個問題。

    注意：https://github.com/bcgit/bc-java/issues/1635NOTE:
    https://www.bouncycastle.org/latest_releases.htmlDEBIANBUG: [1070655] (CVE-2024-29857)

    在 Bouncy Castle Java Cryptography API BC 1.78 之前的版本中發現一個問題。在 BCJSSE 中啟用端點識別，並在沒有明確主機名稱的情況下建立 SSL 通訊端時 (如 HttpsURLConnection 所發生的情況)，在某些情況下，可針對 DNS 解析的 IP 位址執行主機名稱驗證，進而增加 DNS 毒害的可能性。(CVE-2024-34447)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 8 主機上安裝的多個套件受到 RHSA-2024:5479 公告中提及的多個弱點影響。

    Red Hat JBoss Enterprise Application Platform 8 是一個以 WildFly 應用程式執行時間為基礎的 Java 應用程式平台。本版本 Red Hat JBoss Enterprise Application Platform 8.0.3 是 Red Hat JBoss Enterprise Application Platform 8.0.2 的替代版本，其中包含錯誤修正和增強功能。如需此公告中包含的最重要的錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 8.0.3 版本資訊。

    安全性修正：

    * cxf-core：使用 Aegis 資料繫結的 Apache CXF SSRF 弱點 [eap-8.0.z] (CVE-2024-28752)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 計時變體的影響 (Marvin 攻擊) [eap-8.0.z] (CVE-2024-30171)

    - netty-codec-http：無限制或節流的資源配置問題 [eap-8.0.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on：ScalarUtil 類別的 ED25519 驗證中的無限迴圈問題 [eap-8.0.z] (CVE-2024-30172)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle：匯入包含特製 F2m 參數的 EC 憑證時可能導致拒絕服務 [eap-8.0.z] (CVE-2024-29857)

    如需安全性問題的詳細資料，包括影響、CVSS 分數、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Enterprise Manager Base Platform 13.5.0.0 版本會受到 2025 年 1 月 CPU 公告中提及的一個弱點影響。

  - 在 1.78 之前的 Bouncy Castle Java (BC Java)、2.73.6 之前的 BC Java LTS、1.0.2.5 之前的 BC-FJA，以及 2.3.1 之前的 BC C# .Net 中，在 ECCurve.java 和 ECCurve.cs 中發現一個問題。匯入具有特製 F2m 參數的 EC 憑證可導致在評估曲線參數期間過度消耗 CPU。(CVE-2024-29857)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 7 主機上安裝的多個套件受到 RHSA-2024:5143 公告中提及的多個弱點影響。

    Red Hat JBoss Enterprise Application Platform 7 是一個以 WildFly 應用程式執行時間為基礎的 Java 應用程式平台。本版本 Red Hat JBoss Enterprise Application Platform 7.4.18 是 Red Hat JBoss Enterprise Application Platform 7.4.17 的替代版本，其中包含錯誤修正和增強功能。如需此公告中包含的最重要的錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 7.4.18 版本資訊。

    安全性修正：

    * undertow：使用 Java 17 TLSv1.3 NewSessionTicket 時的回應寫入懸置問題 [eap-7.4.z] (CVE-2024-5971)

    * undertow：LearningPushHandler 可導致遠端記憶體 DoS 攻擊 [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 計時變體的影響 (Marvin 攻擊) [eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle：匯入包含特製 F2m 參數的 EC 憑證時可能導致拒絕服務 [eap-7.4.z] (CVE-2024-29857)

    - netty-codec-http：無限製或節流的資源配置問題 [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on：ScalarUtil 類別的 ED25519 驗證中的無限迴圈問題 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2: httpd：CONTINUATION 框架 DoS [eap-7.4.z] (CVE-2024-27316)

    如需安全性問題的詳細資料，包括影響、CVSS 分數、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 9 主機上安裝的多個套件受到 RHSA-2024:5145 公告中提及的多個弱點影響。

    Red Hat JBoss Enterprise Application Platform 7 是一個以 WildFly 應用程式執行時間為基礎的 Java 應用程式平台。本版本 Red Hat JBoss Enterprise Application Platform 7.4.18 是 Red Hat JBoss Enterprise Application Platform 7.4.17 的替代版本，其中包含錯誤修正和增強功能。如需此公告中包含的最重要的錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 7.4.18 版本資訊。

    安全性修正：

    * undertow：使用 Java 17 TLSv1.3 NewSessionTicket 時的回應寫入懸置問題 [eap-7.4.z] (CVE-2024-5971)

    * undertow：LearningPushHandler 可導致遠端記憶體 DoS 攻擊 [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 計時變體的影響 (Marvin 攻擊) [eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle：匯入包含特製 F2m 參數的 EC 憑證時可能導致拒絕服務 [eap-7.4.z] (CVE-2024-29857)

    - netty-codec-http：無限製或節流的資源配置問題 [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on：ScalarUtil 類別的 ED25519 驗證中的無限迴圈問題 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2: httpd：CONTINUATION 框架 DoS [eap-7.4.z] (CVE-2024-27316)

    如需安全性問題的詳細資料，包括影響、CVSS 分數、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 9 主機上安裝的多個套件受到 RHSA-2024:5481 公告中提及的多個弱點影響。

    Red Hat JBoss Enterprise Application Platform 8 是一個以 WildFly 應用程式執行時間為基礎的 Java 應用程式平台。本版本 Red Hat JBoss Enterprise Application Platform 8.0.3 是 Red Hat JBoss Enterprise Application Platform 8.0.2 的替代版本，其中包含錯誤修正和增強功能。如需此公告中包含的最重要的錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 8.0.3 版本資訊。

    安全性修正：

    * cxf-core：使用 Aegis 資料繫結的 Apache CXF SSRF 弱點 [eap-8.0.z] (CVE-2024-28752)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 計時變體的影響 (Marvin 攻擊) [eap-8.0.z] (CVE-2024-30171)

    - netty-codec-http：無限制或節流的資源配置問題 [eap-8.0.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on：ScalarUtil 類別的 ED25519 驗證中的無限迴圈問題 [eap-8.0.z] (CVE-2024-30172)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle：匯入包含特製 F2m 參數的 EC 憑證時可能導致拒絕服務 [eap-8.0.z] (CVE-2024-29857)

    如需安全性問題的詳細資料，包括影響、CVSS 分數、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上執行的 Atlassian Confluence Server 版本受到 CONFSERVER-97723 公告中提及的一個弱點影響。

  - 在 1.78 之前的 Bouncy Castle Java (BC Java)、2.73.6 之前的 BC Java LTS、1.0.2.5 之前的 BC-FJA，以及 2.3.1 之前的 BC C# .Net 中，在 ECCurve.java 和 ECCurve.cs 中發現一個問題。匯入具有特製 F2m 參數的 EC 憑證可導致在評估曲線參數期間過度消耗 CPU。(CVE-2024-29857)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - 在 1.78 之前的 Bouncy Castle Java (BC Java)、2.73.6 之前的 BC Java LTS、1.0.2.5 之前的 BC-FJA，以及 2.3.1 之前的 BC C# .Net 中，在 ECCurve.java 和 ECCurve.cs 中發現一個問題。匯入具有特製 F2m 參數的 EC 憑證可導致在評估曲線參數期間過度消耗 CPU。(CVE-2024-29857)

請注意，Nessus 依賴供應商報告的套件存在。

遠端主機上安裝的 WebLogic Server 版本 12.2.1.4.0、14.1.1.0.0、14.1.2.0.0 皆會受到 2025 年 1 月 CPU 公告中提及的多個弱點影響。

  - 攻擊此弱點的難度較小，經由 T3、IIOP 存取網路的未經驗證攻擊者可以藉此入侵 Oracle WebLogic Server。若成功攻擊此弱點，則可能導致接管 Oracle WebLogic Server。(CVE-2024-23635)

  - 攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證攻擊者可藉此入侵 Oracle WebLogic Server。雖然弱點是在 Oracle WebLogic Server 中，但攻擊可能會顯著影響其他的產品 (範圍變更)。若攻擊成功，攻擊者可在未經授權的情況下造成 Oracle WebLogic Server 懸置或經常重複性當機 (完全 DOS)。(CVE-2023-7272)

  - 攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證攻擊者可藉此入侵 Oracle WebLogic Server。若攻擊成功，攻擊者可在未經授權的情況下造成 Oracle WebLogic Server 懸置或經常重複性當機 (完全 DOS)。(CVE-2024-47554)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 8 主機上安裝的多個套件受到 RHSA-2024:5144 公告中提及的多個弱點影響。

    Red Hat JBoss Enterprise Application Platform 7 是一個以 WildFly 應用程式執行時間為基礎的 Java 應用程式平台。本版本 Red Hat JBoss Enterprise Application Platform 7.4.18 是 Red Hat JBoss Enterprise Application Platform 7.4.17 的替代版本，其中包含錯誤修正和增強功能。如需此公告中包含的最重要的錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 7.4.18 版本資訊。

    安全性修正：

    * undertow：使用 Java 17 TLSv1.3 NewSessionTicket 時的回應寫入懸置問題 [eap-7.4.z] (CVE-2024-5971)

    * undertow：LearningPushHandler 可導致遠端記憶體 DoS 攻擊 [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 計時變體的影響 (Marvin 攻擊) [eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle：匯入包含特製 F2m 參數的 EC 憑證時可能導致拒絕服務 [eap-7.4.z] (CVE-2024-29857)

    - netty-codec-http：無限製或節流的資源配置問題 [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on：ScalarUtil 類別的 ED25519 驗證中的無限迴圈問題 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2: httpd：CONTINUATION 框架 DoS [eap-7.4.z] (CVE-2024-27316)

    如需安全性問題的詳細資料，包括影響、CVSS 分數、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名稱	產品	系列	已發布	已更新	嚴重性
200264	Amazon Linux 2023：bouncycastle、bouncycastle-javadoc、bouncycastle-mail (ALAS2023-2024-636)	Nessus	Amazon Linux Local Security Checks	2024/6/10	2025/3/24	high
205637	RHEL 8：Red Hat JBoss Enterprise Application Platform 8.0.3 安全性更新 (重要) (RHSA-2024:5479)	Nessus	Red Hat Local Security Checks	2024/8/15	2024/11/7	critical
214552	Oracle Enterprise Manager Cloud Control (2025 年 1 月 CPU)	Nessus	Misc.	2025/1/23	2025/1/24	high
205218	RHEL 7：Red Hat JBoss Enterprise Application Platform 7.4.18 安全性更新 (重要) (RHSA-2024:5143)	Nessus	Red Hat Local Security Checks	2024/8/8	2025/1/3	high
205220	RHEL 9：Red Hat JBoss Enterprise Application Platform 7.4.18 安全性更新 (重要) (RHSA-2024:5145)	Nessus	Red Hat Local Security Checks	2024/8/8	2025/1/3	high
205636	RHEL 9：Red Hat JBoss Enterprise Application Platform 8.0.3 安全性更新 (重要) (RHSA-2024:5481)	Nessus	Red Hat Local Security Checks	2024/8/15	2024/11/7	critical
209139	Atlassian Confluence < 7.19.26/7.20.x < 8.5.12/8.6.x < 8.9.4/9.0.1 (CONFSERVER-97723)	Nessus	CGI abuses	2024/10/16	2024/10/16	high
232110	Linux Distros 未修補弱點：CVE-2024-29857	Nessus	Misc.	2025/3/6	2025/3/6	high
214580	Oracle WebLogic Server (2025 年 1 月 CPU)	Nessus	Misc.	2025/1/24	2025/2/7	medium
205219	RHEL 8：Red Hat JBoss Enterprise Application Platform 7.4.18 安全性更新 (重要) (RHSA-2024:5144)	Nessus	Red Hat Local Security Checks	2024/8/8	2025/1/3	high

偵測

搜尋 Plugin

high

critical

high

high

high

critical

high

high

medium

high