Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - 多種 Is 方法 (IsPrivate、IsLoopback 等) 並未如預期針對 IPv4 對應的 IPv6 位址傳回 false 而該位址會在其傳統 IPv4 表單中傳回 true。
    (CVE-2024-24790)

請注意，Nessus 依賴供應商報告的套件存在。

遠端 Redhat Enterprise Linux 8/9 主機上安裝的多個套件受到 RHSA-2024:6765 公告中提及的多個弱點影響。

    Red Hat Ansible Automation Platform 提供企業架構，用於大規模構建、部署和管理 IT 自動化。IT 管理員可針對如何將自動化套用至個別團隊，提供自上而下的準則，自動化開發人員則可繼續自由撰寫利用現有知識的工作，而不會產生額外負荷。Ansible Automation Platform 可讓組織內的使用者透過簡單、功能強大且無代理程式的語言，共用、檢查和管理自動化內容。

    安全性修正：

    * python3-pulpcore/python39-pulpcore：在建立物件的工作中錯誤指派 RBAC 權限 (CVE-2024-7143)
    * python3-urllib3/python39-urllib3：urllib3：跨來源重新導向期間未去除 proxy-authorization 要求標頭 (CVE-2024-37891)
    * receptor：golang: net/netip：用於 IPv4 對應 IPv6 位址的 Is 方法的意外行為 (CVE-2024-24790)
    * receptor：golang: net：格式錯誤的 DNS 訊息可能會造成無限迴圈 (CVE-2024-24788)

    如需安全性問題的詳細資料，包括影響、CVSS 評分、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

    自動化控制器的更新和修復：
    * 則更新遞補，以便在啟用分析收集功能的情況下，使用 RHSM 訂閱憑證傳送分析資料 (AAP-30228) 
    * 已升級「channels-redis」程式庫，可修正 Redis 連線洩漏 (AAP-30124)
    * 已將 automation-controller 更新至 4.5.11

    其他修正：
    * 已將 python3/python39-django 更新至 4.2.16
    * 已將 python3/python39-pulpcore 更新至 3.28.32
    * 已將 python3/python39-urllib3 更新至 1.26.20
    * 已將 receptor 更新至 1.4.8-1.1

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 amazon-ssm-agent 版本低於 3.3.859.0-1。因此，會受到 ALAS2-2024-2645 公告中所提及的多個弱點影響。

    攻擊者可透過傳送過量的 CONTINUATION 框架，造成 HTTP/2 端點讀取任意數量的標頭資料。系統需要剖析並處理連線上的所有 HEADERS 和 CONTINUATION 框架才能維持 HPACK 狀態。若要求的標頭超過 MaxHeaderBytes，系統不會配置記憶體來儲存多餘的標頭，但仍會剖析這些標頭。這允許攻擊者造成 HTTP/2 端點讀取任意數量的標頭資料，所有資料都與即將遭到拒絕的要求相關。這些標頭可能包含經過 Huffman 編碼的資料，接收者解碼這些資料的成本遠高於攻擊者傳送的成本。此修正會針對我們在關閉連線之前需要處理的多餘標頭框架設定數量限制。(CVE-2023-45288)

    多種 Is 方法 (IsPrivate、IsLoopback 等) 並未如預期地針對 IPv4 對應的 IPv6 位址運作，這導致會在傳統 IPv4 表單中傳回 true 的位址傳回 false。
    (CVE-2024-24790)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 8 / 9 主機上安裝的套件受到 RHSA-2025:4664 公告中提及的多個弱點影響。

    Red Hat Ceph Storage 是一個可擴充、開放式、軟體定義的儲存平台，結合了最穩定的 Ceph 儲存系統版本，並搭配 Ceph 管理平台、部署公用程式以及支援服務。

    這些新套件包含多個增強功能、錯誤修正和已知問題。因空間所限，無法在此公告中記錄所有這些變更。如需這些重要變更的相關資訊，系統會將使用者導向到 Red Hat Ceph Storage 版本資訊：

    https://docs.redhat.com/en/documentation/red_hat_ceph_storage/7/html/7.1_release_notes

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 containerd 版本為早於 1.7.20-1 的版本。因此，會受到 ALAS2ECS-2024-040 公告中所提及的多個弱點影響。

    在解除封送某些形式的無效 JSON 時，protojson.Unmarshal 函式會進入無限迴圈。將資料解除封送為含有 google.protobuf.Any 值的訊息時，或在設定 UnmarshalOptions.DiscardUnknown 選項時，便會發生此情形。(CVE-2024-24786)

    多種 Is 方法 (IsPrivate、IsLoopback 等) 並未如預期地針對 IPv4 對應的 IPv6 位址運作，這導致會在傳統 IPv4 表單中傳回 true 的位址傳回 false。
    (CVE-2024-24790)

    套件 jose 旨在提供 Javascript Object Signing and Encryption 標準集的實作。攻擊者可以傳送包含壓縮資料的 JWE，這些資料會在透過 Decrypt 或 DecryptMulti 解壓縮時佔用大量記憶體和 CPU。現在，如果解壓縮的資料大小超過 250kB 或壓縮大小的 10 倍 (以較大者為準)，這些函式會傳回錯誤。此弱點已在 4.0.1、3.0.3 和 2.6.3 版本中得到修正。(CVE-2024-28180)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 AlmaLinux 9 主機中安裝的套件受到 ALSA-2025:7256 公告中提及的多個弱點影響。

    * golang: crypto/tls：處理 QUIC 連線上的交握後訊息時發生錯誤 (CVE-2023-39321)
      * golang: crypto/tls：緩衝的後交握缺少限制 (CVE-2023-39322)
      * golang: net：格式錯誤的 DNS 訊息可能會造成無限迴圈 (CVE-2024-24788)
      * golang: net/netip：來自 IPv4 對應 IPv6 位址的 Is 方法的意外行為 (CVE-2024-24790)
      * net/[http:](http:) 因在 net/http 中對 100-continue 的處理不當導致的拒絕服務 (CVE-2024-24791)
      * golang-fips：Golang FIPS 歸零的緩衝區 (CVE-2024-9355)

Tenable 已直接從 AlmaLinux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 9 主機上安裝的多個套件受到 RHSA-2025:7256 公告中提及的多個弱點影響。

    Git 大型檔案儲存 (LFS) 會在 Git 內以文字指標取代大型檔案，例如音訊範例、視訊、資料集和圖形，同時將檔案內容儲存在遠端伺服器上。

    安全性修正：

    * golang: crypto/tls：處理 QUIC 連線上的交握後訊息時發生錯誤 (CVE-2023-39321)

    * golang: crypto/tls：緩衝的後交握缺少限制 (CVE-2023-39322)

    * golang: net：格式錯誤的 DNS 訊息可能會造成無限迴圈 (CVE-2024-24788)

    * golang: net/netip：來自 IPv4 對應 IPv6 位址的 Is 方法的意外行為 (CVE-2024-24790)

    * net/http：因在 net/http 中對 100-continue 的處理不當導致的拒絕服務 (CVE-2024-24791)

    * golang-fips：Golang FIPS 歸零的緩衝區 (CVE-2024-9355)

    如需安全性問題的詳細資料，包括影響、CVSS 分數、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

    其他變更：

    如需有關此發行版本的詳細變更資訊，請參閱可從「參照」一節連結的 Red Hat Enterprise Linux 9 版本資訊。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名稱	產品	系列	已發布	已更新	嚴重性
227464	Linux Distros 未修補的弱點：CVE-2024-24790	Nessus	Misc.	2025/3/5	2025/9/10	critical
207395	RHEL 8/9：Red Hat Ansible Automation Platform 2.4 產品安全性和錯誤修正更新 (中危) (RHSA-2024:6765)	Nessus	Red Hat Local Security Checks	2024/9/18	2024/11/7	critical
208102	Amazon Linux 2：amazon-ssm-agent (ALAS-2024-2645)	Nessus	Amazon Linux Local Security Checks	2024/10/3	2024/12/11	critical
235495	RHEL 8/9：Red Hat Ceph Storage 7.1 (RHSA-2025:4664)	Nessus	Red Hat Local Security Checks	2025/5/7	2025/6/5	medium
205858	Amazon Linux 2：containerd，--advisory ALAS2ECS-2024-040 (ALASECS-2024-040)	Nessus	Amazon Linux Local Security Checks	2024/8/20	2025/10/24	high
241275	AlmaLinux 9：git-lfs (ALSA-2025:7256)	Nessus	Alma Linux Local Security Checks	2025/7/3	2025/7/3	high
237308	RHEL 9：git-lfs (RHSA-2025:7256)	Nessus	Red Hat Local Security Checks	2025/5/27	2025/6/5	high

偵測

搜尋 Plugin

critical

critical

critical

medium

high

high

high