このnginxの更新では、次の問題を修正します：

キャッシュサイドチャネル攻撃の軽減：

  - CVE-2019-9511：ウィンドウサイズとストリームの優先度を操作することによるサービス拒否を修正しました（bsc#1145579）。

  - CVE-2019-9513：リソースループによって引き起こされるサービス拒否を修正しました（bsc#1145580）。

  - CVE-2019-9516：ヘッダーリークによって引き起こされるサービス拒否を修正しました（bsc#1145582）。

この更新はSUSEからインポートされました：SLE-15：更新プロジェクトを更新します。

一部のHTTP/2実装は、ウィンドウサイズの操作およびストリーム優先度の操作に対して脆弱であり、サービス拒否を引き起こす可能性があります。攻撃者が、複数のストリームにわたる指定されたリソースから大量のデータをリクエストします。彼らはウィンドウサイズとストリーム優先度を操作して、1バイトチャンクにデータをキューイングするようサーバーを強制します。このデータを効率的にキューに入れる方法によって、CPU、メモリ、またはその両方が過剰に消費される可能性があります。（CVE-2019-9511）一部のHTTP/2実装は、リソースループに対して脆弱であり、サービス拒否を引き起こす可能性があります。攻撃者が複数のリクエストストリームを作成し、優先度ツリーが大幅に変更されるような方法でストリームの優先度を常に入れ替えます。これにより、CPU消費が過剰になります。（CVE-2019-9513）

Red Hat Enterprise Linux 6用のRed Hat JBoss Enterprise Application Platform 7.2の更新プログラムが利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重大度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat JBoss Enterprise Application Platform 7は、WildFlyアプリケーションランタイムをベースにしたJavaアプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 7.2.5のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.2.4に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 7.2.5リリースノート』を参照してください。セキュリティ修正プログラム：* undertow：HTTP/2：大量のデータリクエストにより、サービス拒否が引き起こされる（CVE-2019-9511）* undertow：HTTP/2：PINGフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9512）* undertow：HTTP/2：HEADERSフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9514）* undertow：HTTP/2：SETTINGSフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9515）* wildfly-core: デフォルトで「監視者」、「監査者」、「実装者」ユーザーの不適切な権限（CVE-2019-14838）* wildfly：wildfly-security-manager：セキュリティマネージャの認証バイパス（CVE-2019-14843）影響、CVSSスコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。

自己報告されたバージョンによると、インストールされている Nginx Plus のバージョンは、R18-P1 (Open Source バージョン 1.15.10で構築) より前の R8 (Open Source バージョン 1.9.9で構築) です。このため、複数のサービス拒否脆弱性の影響を受けます。

  - 例外的な状態が不適切に処理されているため、HTTP/2プロトコルスタックにサービス拒否の脆弱性があります。認証されていないリモートの攻撃者がこれを悪用し、大きなデータリクエストのウィンドウサイズとストリーム優先度を操作することで、サービス拒否状態を引き起こす可能性があります。(CVE-2019-9511)

  - 例外的な状態が不適切に処理されているため、HTTP/2プロトコルスタックにサービス拒否の脆弱性があります。認証されていないリモートの攻撃者がこれを悪用し、複数のリクエストストリームを作成し、ストリーム優先度を継続的に入れ替えて、サービス拒否状態を引き起こす可能性があります。(CVE-2019-9513)

  - 例外的な状態が不適切に処理されているため、HTTP/2プロトコルスタックにサービス拒否の脆弱性があります。認証されていないリモートの攻撃者がこれを悪用し、ゼロレングスのヘッダー名とゼロレングスのヘッダー値を持つヘッダーのストリームを送信することで、サービス拒否状態を引き起こす可能性があります。(CVE-2019-9516)

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - 一部の HTTP/2 実装は、ウィンドウサイズの操作やストリーム優先度の操作に対して脆弱であり、サービス拒否を引き起こす可能性があります。攻撃者が、複数のストリームにわたる指定されたリソースから大量のデータをリクエストします。彼らはウィンドウサイズとストリーム優先度を操作して、1バイトチャンクにデータをキューイングするようサーバーを強制します。このデータを効率的にキューに入れる方法によっては、CPU、メモリ、またはその両方が過剰に消費される可能性があります。(CVE-2019-9511)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモートのWindowsホストにセキュリティ更新プログラム4512517がありません。
したがって、以下の複数の脆弱性による影響を受けます。

  - WindowsでAdvanced Local Procedure Call（ALPC）への呼び出しが不適切に処理されるとき、権限昇格の脆弱性があります。この脆弱性の悪用に成功した攻撃者は、ローカルシステムのセキュリティコンテキストで任意のコードを実行する可能性があります。攻撃者が、完全なユーザー権限で、プログラムのインストール、データの表示・変更・削除、または新規アカウントの作成を実行する可能性があります。
    （CVE-2019-1162）

  - Microsoftブラウザーが異なるオリジンのリクエストを不適切に処理するとき、セキュリティ機能をバイパスする脆弱性があります。この脆弱性により、Microsoftブラウザーは同一オリジンポリシー（SOP）制限をバイパスし、本来であれば無視されるべき要求を許可します。脆弱性の悪用に成功した攻撃者が、本来であれば制限されるべきデータを送信するようにブラウザーに強制する可能性があります。
    （CVE-2019-1192）

  - Microsoft Windowsグラフィックスコンポーネントがメモリ内のオブジェクトを不適切に処理する場合に、情報漏洩の脆弱性があります。この脆弱性の悪用に成功した攻撃者は、情報を取得してユーザーシステムをさらに侵害する可能性があります。（CVE-2019-1148、CVE-2019-1153）

  - XmlLiteランタイム（XmlLite.dll）がXML入力を不適切に解析するとき、サービス拒否の脆弱性があります。この脆弱性の悪用に成功した攻撃者が、XMLアプリケーションに対するサービス拒否を引き起こす可能性があります。リモートの認証されていない攻撃者がこの脆弱性を悪用し、特別に細工されたリクエストをXMLアプリケーションに発行する可能性があります。更新プログラムは、XmlLiteランタイムがXML入力を解析する方法を修正することで、この脆弱性に対応します。（CVE-2019-1187）

  - DirectXがメモリ内のオブジェクトを不適切に処理する場合に、権限昇格の脆弱性があります。この脆弱性の悪用に成功した攻撃者が、カーネルモードで任意のコードを実行する可能性があります。攻撃者が、完全なユーザー権限で、プログラムのインストール、データの表示・変更・削除、または新規アカウントの作成を実行する可能性があります。
    （CVE-2019-1176）

  - Windows Jet Database Engineがメモリ内のオブジェクトを不適切に処理する場合に、リモートコード実行の脆弱性があります。この脆弱性の悪用に成功した攻撃者が、被害者のシステムで任意のコードを実行する可能性があります。攻撃者がこの脆弱性を悪用して、被害者に巧妙に作りこまれたファイルを開かせる可能性があります。更新プログラムは、Windows Jetデータベースエンジンがメモリ内のオブジェクトを処理する方法を修正することにより、この脆弱性に対応します。（CVE-2019-1146、 CVE-2019-1147、CVE-2019-1155、CVE-2019-1156、CVE-2019-1157）

  - HTTP.sysが特別に細工されたHTTP/2リクエストを不適切に解析するとき、サービス拒否の脆弱性がHTTP/2プロトコルスタック（HTTP.sys）にあります。脆弱性の悪用に成功した攻撃者が、サービス拒否状態を作りだし、標的のシステムの応答を停止させる可能性があります。（CVE-2019-9511、CVE-2019-9512、CVE-2019-9513、CVE-2019-9514、CVE-2019-9518）

  - <h1>エグゼクティブサマリー</h1>Microsoftは、あらゆるBR/EDR Bluetoothデバイスのハードウェア仕様レベルにあるBluetooth BR/EDR（基本レート/拡張データレート、「Bluetooth Classic」ともいう）のキーネゴシエーションの脆弱性を認識しています。攻撃者が、提供されたキーの長さを最大16バイトから1バイトのエントロピーにまでネゴシエートできる可能性があります。
    （CVE-2019-9506）

  - ChakraスクリプトエンジンがMicrosoft Edgeのメモリでオブジェクトを処理する方法に、リモートコード実行脆弱性があります。この脆弱性により、攻撃者が現在のユーザーのコンテキストで任意のコードを実行し、メモリを破損させる可能性があります。この脆弱性の悪用に成功した攻撃者が、現在のユーザーと同じユーザー権限を取得する可能性があります。（CVE-2019-1139、CVE-2019-1140、CVE-2019-1195、CVE-2019-1197）

  - p2pimsvcサービスには権限昇格の脆弱性があり、この脆弱性の悪用に成功した攻撃者が、昇格した権限で任意のコードを実行する可能性があります。（CVE-2019-1168）

  - Windowsグラフィックスコンポーネントが不適切にメモリ内のオブジェクトを処理するとき、情報漏えいの脆弱性があります。この脆弱性の悪用に成功した攻撃者は、情報を取得してユーザーシステムをさらに侵害する可能性があります。認証された攻撃者が、巧妙に作りこまれたアプリケーションを実行し、この脆弱性を悪用する可能性があります。更新プログラムは、Windowsグラフィックスコンポーネントがメモリ内のオブジェクトを処理する方法を修正することで、この脆弱性に対応します。（CVE-2019-1078）

  - wcmsvc.dllがメモリ内のオブジェクトを処理する方法に、権限昇格の脆弱性があります。この脆弱性の悪用に成功した攻撃者が、昇格した権限でコードを実行する可能性があります。
    （CVE-2019-1180、CVE-2019-1186）

  - 攻撃者が特別に細工されたパケットをDHCPフェールオーバーサーバーに送信するとき、Windows Server DHCPサービスにメモリ破損の脆弱性があります。この脆弱性の悪用に成功した攻撃者が、DHCPサービスの応答を停止させる可能性があります。
    （CVE-2019-1206）

  - unistore.dllがメモリ内のオブジェクトを処理する方法に、権限昇格の脆弱性があります。この脆弱性の悪用に成功した攻撃者が、昇格した権限でコードを実行する可能性があります。
    （CVE-2019-1179）

  - SyncController.dllに権限昇格の脆弱性があります。
    脆弱性の悪用に成功した攻撃者が、昇格した権限で任意のコードを実行する可能性があります。
    （CVE-2019-1198）

  - ssdpsrv.dllがメモリ内のオブジェクトを処理する方法に、権限昇格の脆弱性があります。この脆弱性の悪用に成功した攻撃者が、昇格した権限でコードを実行する可能性があります。
    （CVE-2019-1178）

  - Windowsフォントライブラリが巧妙に作りこまれた埋め込みフォントを不適切に処理する場合に、リモートコード実行の脆弱性があります。脆弱性の悪用に成功した攻撃者が、影響を受けるシステムを乗っ取る可能性があります。その後、攻撃者は、完全なユーザー権限で、プログラムのインストール、データの表示・変更・削除、または新規アカウントの作成を実行する可能性があります。（CVE-2019-1144、CVE-2019-1145、CVE-2019-1149、CVE-2019-1150、CVE-2019-1151、CVE-2019-1152）

  - WindowsがCABファイルの署名を不適切に検証するとき、セキュリティ機能がバイパスされます。この脆弱性の悪用に成功した攻撃者が、ファイルの署名を無効にすることなくCABファイルにコードを挿入する可能性があります。（CVE-2019-1163）

  - Windowsカーネルがメモリ内のオブジェクトを不適切に処理する場合に、権限昇格の脆弱性があります。この脆弱性の悪用に成功した攻撃者が、カーネルモードで任意のコードを実行する可能性があります。
    その後、攻撃者は、完全なユーザー権限で、プログラムのインストール、データの表示・変更・削除、または新規アカウントの作成を実行する可能性があります。（CVE-2019-1159、CVE-2019-1164）

  - 認証されていない攻撃者がRDPを使用して標的のシステムに接続し、特別に細工されたリクエストを送信するとき、（以前はターミナルサービスと呼ばれていた）リモートデスクトップサービスにリモートでコードが実行される脆弱性があります。
    この脆弱性は事前認証であり、ユーザーの操作を必要としません。この脆弱性の悪用に成功した攻撃者は、標的のシステムで任意のコードを実行する可能性があります。さらに、攻撃者が完全なユーザー権限でプログラムをインストールし、
    データの表示・変更・削除、または新規アカウントの作成を実行する可能性があります。（CVE-2019-1181、CVE-2019-1182）

  - 攻撃者が特別に細工されたDHCP応答をクライアントに送信するとき、Windows DHCPクライアントにメモリ破損の脆弱性があります。この脆弱性の悪用に成功した攻撃者が、クライアントのマシンで任意のコードを実行する可能性があります。（CVE-2019-0736）

  - スクリプトエンジンがInternet Explorerのメモリでオブジェクトを処理する方法に、リモートでコードが実行される脆弱性があります。この脆弱性により、攻撃者が現在のユーザーのコンテキストで任意のコードを実行し、メモリを破損させる可能性があります。この脆弱性の悪用に成功した攻撃者が、現在のユーザーと同じユーザー権限を取得する可能性があります。
    （CVE-2019-1133、CVE-2019-1194）

  - VBScriptエンジンがメモリ内でオブジェクトを処理する方法に、リモートコード実行の脆弱性があります。この脆弱性により、攻撃者が現在のユーザーのコンテキストで任意のコードを実行し、メモリを破損させる可能性があります。この脆弱性の悪用に成功した攻撃者が、現在のユーザーと同じユーザー権限を取得する可能性があります。（CVE-2019-1183）

  - rpcss.dllがメモリ内のオブジェクトを処理する方法に、権限昇格の脆弱性があります。この脆弱性の悪用に成功した攻撃者が、昇格した権限でコードを実行する可能性があります。
    （CVE-2019-1177）

  - Microsoftのブラウザがメモリ内のオブジェクトにアクセスする方法に、リモートでコードが実行される脆弱性があります。この脆弱性により、攻撃者が現在のユーザーのコンテキストで任意のコードを実行し、メモリを破壊する可能性があります。この脆弱性の悪用に成功した攻撃者が、現在のユーザーと同じユーザー権限を取得する可能性があります。（CVE-2019-1193）

  - Microsoft Edgeがメモリ内のオブジェクトを不適切に処理するとき、情報漏えいの脆弱性があります。この脆弱性の悪用に成功した攻撃者は、情報を取得してユーザーシステムをさらに侵害する可能性があります。（CVE-2019-1030）

  - ログインリクエストセッション中に、Azure Active Directory（AAD）Microsoftアカウント（MSA）に情報漏洩の脆弱性があります。脆弱性の悪用に成功した攻撃者が、ユーザーのアカウントを乗っ取る可能性があります。（CVE-2019-1172）

  - ホストサーバー上のMicrosoft Hyper-Vネットワークスイッチが、ゲストオペレーティングシステム上の特権ユーザーからの入力を適切に検証しないとき、サービス拒否の脆弱性があります。この脆弱性の悪用に成功した攻撃者が、ホストサーバーをクラッシュさせる可能性があります。（CVE-2019-0714、CVE-2019-0715、CVE-2019-0718、CVE-2019-0723）

  - Windowsがメモリ内のオブジェクトを不適切に処理する場合に、サービス拒否の脆弱性があります。この脆弱性の悪用に成功した攻撃者が、ターゲットシステムの応答を停止させる可能性があります。（CVE-2019-0716）

  - Windows GDIコンポーネントがメモリの内容を不適切に開示するとき、情報漏洩の脆弱性があります。この脆弱性を悪用した攻撃者が、ユーザーのシステムをさらに侵害する情報を取得する可能性があります。攻撃者がこの脆弱性を悪用する方法は複数あります。たとえば、ユーザーに特別な細工をしたドキュメントを開かせたり、ユーザーを信頼できないWebページに誘導するなどです。
    更新プログラムは、Windows GDIコンポーネントがメモリ内のオブジェクトを処理する方法を修正することで、この脆弱性に対応します。
    （CVE-2019-1143、CVE-2019-1158）

  - ホストサーバー上のWindows Hyper-Vネットワークスイッチが、ゲストオペレーティングシステム上の認証されたユーザーからの入力を適切に検証しないとき、リモートでコードが実行される脆弱性があります。（CVE-2019-0720）

  - 特別に細工されたパケットを処理するとき、メモリ破損の脆弱性がWindows Server DHCPサービスにあります。この脆弱性の悪用に成功した攻撃者が、DHCPサーバーサービスの応答を停止させる可能性があります。（CVE-2019-1212）

  - Microsoft XML Core Services MSXMLパーサーがユーザーの入力を処理するとき、リモートでコードが実行される脆弱性があります。脆弱性の悪用に成功した攻撃者が、悪意のあるコードをリモートで実行してユーザーのシステムを乗っ取る可能性があります。（CVE-2019-1057）

このnodejs10のバージョン10.16.3への更新では、次の問題が修正されます：

キャッシュサイドチャネル攻撃の軽減：

CVE-2019-9511：ウィンドウサイズの操作やストリーム優先度の操作に対して脆弱であり、サービス拒否を引き起こす可能性のあるHTTP/2実装を修正しました（bsc#1146091）。

CVE-2019-9512：無制限のメモリ増加につながるPINGフレームを使用したHTTP/2フラッドを修正します（bsc#1146099）。

CVE-2019-9513：サービス拒否につながる可能性のあるリソースループに対して脆弱なHTTP/2実装を修正しました。
（bsc#1146094）。

CVE-2019-9514：サービス拒否につながる可能性のある、HTTP/2実装がリセットフラッドに対して脆弱である問題を修正しました（bsc#1146095）。

CVE-2019-9515：無制限のメモリ増加につながるSETTINGSフレームを使用したHTTP/2フラッドを修正します（bsc#1146100）。

CVE-2019-9516：サービス拒否につながる可能性のあるヘッダーリークに対して脆弱なHTTP/2実装を修正しました（bsc#1146090）。

CVE-2019-9517：制約のない内部データバッファリングに対して脆弱なHTTP/2実装を修正しました（bsc#1146097）。

CVE-2019-9518：サービス拒否につながる可能性のある空のフレームのフラッドに対して脆弱なHTTP/2実装を修正しました（bsc#1146093）。

注意：Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

リモート Redhat Enterprise Linux 7 ホストに、RHSA-2019:2939 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  - nodejs: 大きな HTTP ヘッダーによるサービス拒否 (CVE-2018-12121)

  - nodejs: Slowloris HTTP のサービス拒否 (CVE-2018-12122)

  - nodejs: javascript プロトコルの URL パーサーにおけるホスト名のなりすまし (CVE-2018-12123)

  - nodejs: server.headersTimeout バイパスを介したDoSを引き起こす不十分なSlowloris の修正 (CVE-2019-5737)

  - HTTP/2: 大量のデータリクエストにより、サービス拒否が引き起こされます (CVE-2019-9511)

  - HTTP/2: PING フレームを使用したフラッドにより、メモリが無制限に増加します (CVE-2019-9512)

  - HTTP/2: PRIORITY フレームを使用したフラッドにより、リソースが過剰に消費されます (CVE-2019-9513)

  - HTTP/2: HEADERS フレームを使用したフラッドにより、メモリが無制限に増加します (CVE-2019-9514)

  - HTTP/2: SETTINGSフレームを使用したフラッドにより、メモリが無制限に増加します (CVE-2019-9515)

  - HTTP/2: 長さゼロのヘッダーによりサービス拒否が引き起こされます (CVE-2019-9516)

  - HTTP/2: 大きな応答のリクエストにより、サービス拒否が引き起こされます (CVE-2019-9517)

  - HTTP/2: 空のフレームを使用したフラッドにより、リソースが過剰に消費されます (CVE-2019-9518)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートのOracle Linux 7ホストに、ELSA-2020-5862アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  - nginxのバージョン0.5.6～1.13.2は、nginx range filter内の整数オーバーフローの脆弱性に対して脆弱なため、特別に細工されたリクエストによって潜在的な機密情報の漏洩がトリガーされる可能性があります。（CVE-2017-7529）

  - バージョンの1.15.6および1.14.1より前のnginxでは、ngx_http_mp4_moduleに脆弱性があります。そのため、攻撃者が、特別に細工したmp4ファイルを使用することによって、ワーカープロセスで無限ループを引き起こしたり、ワーカープロセスをクラッシュさせたり、ワーカープロセスのメモリ漏洩を引き起こしたりする可能性があります。この問題は、ngx_http_mp4_module（このモジュールはデフォルトで構築されない）を使用して構築され、.mp4.ディレクティブが構成ファイルで使用されている場合にのみ、nginxに影響を与えます。さらに、攻撃者がngx_http_mp4_moduleを使用して特別に細工したmp4ファイルの処理をトリガーできる場合にのみ、攻撃が可能です。（CVE-2018-16845）

  - 一部のHTTP/2実装は、ウィンドウサイズの操作やストリーム優先度の操作に対して脆弱であり、サービス拒否を引き起こす可能性があります。攻撃者が、複数のストリームにわたる指定されたリソースから大量のデータをリクエストします。彼らはウィンドウサイズとストリーム優先度を操作して、1バイトチャンクにデータをキューイングするようサーバーを強制します。このデータを効率的にキューに入れる方法によっては、CPU、メモリ、またはその両方が過剰に消費される可能性があります。（CVE-2019-9511）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

The remote web server is running a version of nginx that is affected by the following vulnerabilities:

 - A vulnerability exists that involves window size manipulation and stream prioritization manipulation, potentially leading to a denial of service. An attacker can manipulate window size and stream priority to force the server to queue the data in 1-byte chunks. Depending on how efficiently this data is queued, this can consume excess CPU, memory, or both. (CVE-2019-9511)
 - The affected versions of nginx are vulnerable to resource loops, potentially leading to a denial of service. The attacker creates multiple request streams and continually shuffles the priority of the streams in a way that causes substantial churn to the priority tree. This can consume excess CPU. (CVE-2019-9513)
 - The affected versions of nginx vulnerable to a header leak, potentially leading to a denial of service. The attacker sends a stream of headers with a 0-length header name and 0-length header value, optionally Huffman encoded into 1-byte or greater headers. Some implementations allocate memory for these headers and keep the allocation alive until the session dies. This can consume excess memory. (CVE-2019-9516)

Some HTTP/2 implementations are vulnerable to window size manipulation and stream prioritization manipulation, potentially leading to a denial of service. The attacker requests a large amount of data from a specified resource over multiple streams. They manipulate window size and stream priority to force the server to queue the data in 1-byte chunks. Depending on how efficiently this data is queued, this can consume excess CPU, memory, or both.

This plugin only works with Tenable.ot.
Please visit https://www.tenable.com/products/tenable-ot for more information.

ID	名稱	產品	系列	已發布	已更新	嚴重性
129667	openSUSEセキュリティ更新プログラム：nginx（openSUSE-2019-2264）（0-Length Headers Leak）（Data Dribble）（Resource Loop）	Nessus	SuSE Local Security Checks	2019/10/7	2024/4/19	high
129790	Amazon Linux 2：nghttp2（ALAS-2019-1298）（Data Dribble）（Resource Loop）	Nessus	Amazon Linux Local Security Checks	2019/10/11	2024/4/18	high
131522	RHEL 6：JBoss EAP（RHSA-2019:4018）（Data Dribble）（Ping Flood）（Reset Flood）（Settings Flood）	Nessus	Red Hat Local Security Checks	2019/12/3	2024/11/7	high
161697	nginx R8 < R18-P1 の複数の脆弱性	Nessus	Web Servers	2022/5/31	2023/10/26	high
250977	Linux Distros のパッチ未適用の脆弱性: CVE-2019-9511	Nessus	Misc.	2025/8/18	2025/8/18	high
127850	KB4512517: Windows 10バージョン1607およびWindows Server 2016の2019年8月のセキュリティ更新プログラム	Nessus	Windows : Microsoft Bulletins	2019/8/13	2024/5/30	critical
128467	SUSE SLES15セキュリティ更新プログラム：nodejs10（SUSE-SU-2019:2259-1）（0-Length Headers Leak）（Data Dribble）（Empty Frames Flood）（Internal Data Buffering）（Ping Flood）（Reset Flood）（Resource Loop）（Settings Flood）	Nessus	SuSE Local Security Checks	2019/9/3	2024/4/30	high
194000	RHEL 7 : rh-nodejs10-nodejs (RHSA-2019:2939)	Nessus	Red Hat Local Security Checks	2024/4/27	2024/11/6	medium
140926	Oracle Linux 7：olcne / nginx（ELSA-2020-5862）	Nessus	Oracle Linux Local Security Checks	2020/9/28	2025/4/15	high
701146	nginx < 1.16.1 (stable) / 1.17.3 (mainline) Multiple DoS	Nessus Network Monitor	Web Servers	2019/8/14	2019/8/14	high
502477	Synology DSM HTTP/2 Implementations Window Size and Stream Prioritization Manipulation (CVE-2019-9511)	Tenable OT Security	Tenable.ot	2024/10/1	2024/10/2	high

偵測

搜尋 Plugin

high

high

high

high

high

critical

high

medium

high

high

high