The version of FreeBSD installed on the remote host is prior to tested version. It is, therefore, affected by multiple vulnerabilities as referenced in the 0b0ad196-1ee8-4a98-89b1-4d5d82af49a9 advisory.

  - XStream is an open source java library to serialize objects to XML and back again. Versions prior to     1.4.19 may allow a remote attacker to allocate 100% CPU time on the target system depending on CPU type or     parallel execution of such a payload resulting in a denial of service only by manipulating the processed     input stream. XStream 1.4.19 monitors and accumulates the time it takes to add elements to collections and     throws an exception if a set threshold is exceeded. Users are advised to upgrade as soon as possible.
    Users unable to upgrade may set the NO_REFERENCE mode to prevent recursion. See GHSA-rmr5-cpv2-vgjf for     further details on a workaround if an upgrade is not possible. (CVE-2021-43859)

  - Jenkins 2.333 and earlier, LTS 2.319.2 and earlier defines custom XStream converters that have not been     updated to apply the protections for the vulnerability CVE-2021-43859 and allow unconstrained resource     usage. (CVE-2022-0538)

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

The version of Jenkins Enterprise or Jenkins Operations Center running on the remote web server is 2.277.x prior to 2.277.43.0.6, 2.303.x prior to 2.303.30.0.5, or 2.x prior to 2.319.3.3. It is, therefore, affected by multiple vulnerabilities:

  - XStream is an open source java library to serialize objects to XML and back again. Versions prior to     1.4.19 may allow a remote attacker to allocate 100% CPU time on the target system depending on CPU type or     parallel execution of such a payload resulting in a denial of service only by manipulating the processed     input stream. XStream 1.4.19 monitors and accumulates the time it takes to add elements to collections and     throws an exception if a set threshold is exceeded. Users are advised to upgrade as soon as possible.
    Users unable to upgrade may set the NO_REFERENCE mode to prevent recursion. See GHSA-rmr5-cpv2-vgjf for     further details on a workaround if an upgrade is not possible. (CVE-2021-43859)

  - Jenkins 2.333 and earlier, LTS 2.319.2 and earlier defines custom XStream converters that have not been     updated to apply the protections for the vulnerability CVE-2021-43859 and allow unconstrained resource usage. (CVE-2022-0538)

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

自己報告されたバージョン番号によると、リモートのWebサーバーで実行されているJenkinsのバージョンは、2.319.3より前のJenkins LTSまたは2.334より前のJenkins weeklyです。そのため、以下の複数の脆弱性の影響を受けます。

  - XStream は、オブジェクトを XML にシリアル化したり戻したりするためのオープンソースの Java ライブラリです。1.4.19 より前のバージョンでは、この脆弱性により、リモート攻撃者が CPU の種類やペイロードのパラレル実行によっては 100％ の CPU 時間を標的のシステムに割り当てる可能性があり、処理された入力ストリームを操作するだけでサービス拒否が発生する可能性があります。XStream 1.4.19は要素をコレクションに追加するのにかかる時間を監視して累積し、設定されたしきい値を超えた場合に例外をスローします。ユーザーは、至急アップグレードすることが勧められています。
    アップグレードできないユーザーは、再帰を防ぐために NO_REFERENCE モードを設定する可能性があります。アップグレードが不可能な場合の回避策の詳細については、GHSA-rmr5-cpv2-vgjf を参照してください。(CVE-2021-43859)

  -Jenkins 2.333以前、LTS 2.319.2以前は、脆弱性 CVE-2021-43859に対する保護を適用するために更新されていないカスタム XStream コンバーターを定義しており、制約なくリソースを使用できるようにします。（CVE-2022-0538）

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

According to its its self-reported version number, the version of Jenkins running on the remote web server is Jenkins LTS prior to 2.319.3 or Jenkins weekly prior to 2.334. It is, therefore, affected by multiple vulnerabilities:

  - XStream is an open source java library to serialize objects to XML and back again. Versions prior to     1.4.19 may allow a remote attacker to allocate 100% CPU time on the target system depending on CPU type or     parallel execution of such a payload resulting in a denial of service only by manipulating the processed     input stream. XStream 1.4.19 monitors and accumulates the time it takes to add elements to collections and     throws an exception if a set threshold is exceeded. Users are advised to upgrade as soon as possible.
    Users unable to upgrade may set the NO_REFERENCE mode to prevent recursion. See GHSA-rmr5-cpv2-vgjf for     further details on a workaround if an upgrade is not possible. (CVE-2021-43859)

  - Jenkins 2.333 and earlier, LTS 2.319.2 and earlier defines custom XStream converters that have not been     updated to apply the protections for the vulnerability CVE-2021-43859 and allow unconstrained resource     usage. (CVE-2022-0538)

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、0b0ad196-1ee8-4a98-89b1-4d5d82af49a9 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - XStream は、オブジェクトを XML にシリアル化したり戻したりするためのオープンソースの Java ライブラリです。1.4.19 より前のバージョンでは、この脆弱性により、リモート攻撃者が CPU の種類やペイロードのパラレル実行によっては 100％ の CPU 時間を標的のシステムに割り当てる可能性があり、処理された入力ストリームを操作するだけでサービス拒否が発生する可能性があります。XStream 1.4.19は要素をコレクションに追加するのにかかる時間を監視して累積し、設定されたしきい値を超えた場合に例外をスローします。ユーザーは、至急アップグレードすることが勧められています。
    アップグレードできないユーザーは、再帰を防ぐために NO_REFERENCE モードを設定する可能性があります。アップグレードが不可能な場合の回避策の詳細については、GHSA-rmr5-cpv2-vgjf を参照してください。(CVE-2021-43859)

  -Jenkins 2.333以前、LTS 2.319.2以前は、脆弱性 CVE-2021-43859に対する保護を適用するために更新されていないカスタム XStream コンバーターを定義しており、制約なくリソースを使用できるようにします。 (CVE-2022-0538)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

根据其自我报告的版本号，远程 Web 服务器上运行的 Jenkins 版本低于 Jenkins LTS 2.319.3，或低于 Jenkins weekly 2.334。因此，该应用程序受到多个漏洞的影响：

  - XStream 是一个可将对象序列化为 XML，再将 XML 序列化为对象的开源 java 库。在 1.4.19 之前的版本中，远程攻击者可以仅通过操纵处理后的输入流来根据 CPU 类型或此类负载的并行执行，在目标系统上分配 100％ CPU 时间，从而导致拒绝服务。XStream 1.4.19 会监控并累积将各元素添加到集合要花费的时间，并在超过设定的阈值时抛出异常。建议用户尽快升级。
    无法升级的用户可设置 NO_REFERENCE 模式以防止发生递归。如果无法升级，请参阅 GHSA-rmr5-cpv2-vgjf 以获取有关变通方案的更多详细信息。(CVE-2021-43859)

  - Jenkins 2.333 和更早版本、 LTS 2.319.2 和更早版本定义了自定义 XStream 转换器，这些转换器尚未更新以应用针对 CVE-2021-43859 漏洞的保护并允许不受限制地漏洞资源。(CVE-2022-0538)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号。

根據其自我報告的版本號碼，遠端 Web 伺服器上執行的 Jenkins 是 Jenkins LTS 2.319.3 之前版本或 Jenkins 每週版的 2.334 之前版本。因此，會受到多個弱點影響：

  - XStream 是一個開放原始碼 java 程式庫，可將物件序列化為 XML 並進行反序列化。在早於 1.4.19 的版本中，此弱點可能會允許遠端攻擊者根據 CPU 類型在目標系統上配置 100％ CPU 時間或平行執行此類承載，進而僅透過操控已處理的輸入資料流即可引發拒絕服務。XStream 1.4.19 會監控並累積將元素新增至集合所需的時間，並在超過設定的閾值時擲回例外狀況。建議使用者盡快進行升級。
    無法升級的使用者可透過設定 NO_REFERENCE 模式來防止遞回情形。如果無法升級，請參閱 GHSA-rmr5-cpv2-vgjf 以進一步了解因應措施。(CVE-2021-43859)

  - Jenkins 2.333 和更舊版本、LTS 2.319.2 和更舊版本定義了自訂 XStream 轉換器 (尚未經過更新以套用針對 CVE-2021-43859 弱點的保護措施，並允許不受限制地使用資源)。(CVE-2022-0538)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

遠端 Web 伺服器上執行的 Jenkins Enterprise 或 Jenkins Operations Center 版本為早於 2.277.43.0.6 的 2.277.x 版本、早於 2.303.30.0.5 的 2.303.x 版本，或是早於 2.319.3.3 的 2.x 版本。因此，會受到多個弱點影響：

  - XStream 是一個開放原始碼 java 程式庫，可將物件序列化為 XML 並進行反序列化。在早於 1.4.19 的版本中，此弱點可能會允許遠端攻擊者根據 CPU 類型在目標系統上配置 100％ CPU 時間或平行執行此類承載，進而僅透過操控已處理的輸入資料流即可引發拒絕服務。XStream 1.4.19 會監控並累積將元素新增至集合所需的時間，並在超過設定的閾值時擲回例外狀況。建議使用者盡快進行升級。
    無法升級的使用者可透過設定 NO_REFERENCE 模式來防止遞回情形。如果無法升級，請參閱 GHSA-rmr5-cpv2-vgjf 以進一步了解因應措施。(CVE-2021-43859)

  - Jenkins 2.333 和更舊版本、LTS 2.319.2 和更舊版本定義了自訂 XStream 轉換器 (尚未經過更新以套用針對 CVE-2021-43859 弱點的保護措施，並允許不受限制地使用資源)。(CVE-2022-0538)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

リモート Web サーバーで実行されている Jenkins Enterprise または Jenkins Operations Center のバージョンは、2.277.43.0.6 より前の 2.277.x、2.303.30.0.5 より前の 2.303.x、および 2.319.3.3より前の 2.xです。そのため、以下の複数の脆弱性の影響を受けます。

  - XStream は、オブジェクトを XML にシリアル化したり戻したりするためのオープンソースの Java ライブラリです。1.4.19 より前のバージョンでは、この脆弱性により、リモート攻撃者が CPU の種類やペイロードのパラレル実行によっては 100％ の CPU 時間を標的のシステムに割り当てる可能性があり、処理された入力ストリームを操作するだけでサービス拒否が発生する可能性があります。XStream 1.4.19は要素をコレクションに追加するのにかかる時間を監視して累積し、設定されたしきい値を超えた場合に例外をスローします。ユーザーは、至急アップグレードすることが勧められています。
    アップグレードできないユーザーは、再帰を防ぐために NO_REFERENCE モードを設定する可能性があります。アップグレードが不可能な場合の回避策の詳細については、GHSA-rmr5-cpv2-vgjf を参照してください。(CVE-2021-43859)

  -Jenkins 2.333以前、LTS 2.319.2以前は、脆弱性 CVE-2021-43859に対する保護を適用するために更新されていないカスタム XStream コンバーターを定義しており、制約なくリソースを使用できるようにします。 (CVE-2022-0538)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

远程 Web 服务器上运行的 Jenkins Enterprise 或 Jenkins Operations Center 版本为低于 2.277.43.0.6 的 2.277.x、低于 2.303.30.0.5 的 2.303.x 或低于 2.319.3.3 的 2.x。因此，该应用程序受到多个漏洞的影响：

  - XStream 是一个可将对象序列化为 XML，再将 XML 序列化为对象的开源 java 库。在 1.4.19 之前的版本中，远程攻击者可以仅通过操纵处理后的输入流来根据 CPU 类型或此类负载的并行执行，在目标系统上分配 100％ CPU 时间，从而导致拒绝服务。XStream 1.4.19 会监控并累积将各元素添加到集合要花费的时间，并在超过设定的阈值时抛出异常。建议用户尽快升级。
    无法升级的用户可设置 NO_REFERENCE 模式以防止发生递归。如果无法升级，请参阅 GHSA-rmr5-cpv2-vgjf 以获取有关变通方案的更多详细信息。(CVE-2021-43859)

  - Jenkins 2.333 和更早版本、 LTS 2.319.2 和更早版本定义了自定义 XStream 转换器，这些转换器尚未更新以应用针对 CVE-2021-43859 漏洞的保护并允许不受限制地漏洞资源。(CVE-2022-0538)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号来判断。

ID	名稱	產品	系列	已發布	已更新	嚴重性
157887	FreeBSD : jenkins -- DoS vulnerability in bundled XStream library (0b0ad196-1ee8-4a98-89b1-4d5d82af49a9)	Nessus	FreeBSD Local Security Checks	2022/2/11	2023/11/9	high
158672	Jenkins Enterprise and Operations Center 2.277.x < 2.277.43.0.6 / 2.303.x < 2.303.30.0.5 / 2.319.3.3 Multiple DoS (CloudBees Security Advisory 2022-02-09)	Nessus	CGI abuses	2022/3/7	2024/6/4	high
157860	Jenkins LTS < 2.319.3/ Jenkins weekly < 2.334の複数の脆弱性	Nessus	CGI abuses	2022/2/9	2024/6/4	high
157860	Jenkins LTS < 2.319.3 / Jenkins weekly < 2.334 Multiple Vulnerabilities	Nessus	CGI abuses	2022/2/9	2024/6/4	high
157887	FreeBSD: jenkins -- バンドルされた XStream ライブラリの DoS 脆弱性 (0b0ad196-1ee8-4a98-89b1-4d5d82af49a9)	Nessus	FreeBSD Local Security Checks	2022/2/11	2023/11/9	high
157860	Jenkins LTS < 2.319.3 / Jenkins weekly < 2.334 多个漏洞	Nessus	CGI abuses	2022/2/9	2024/6/4	high
157860	Jenkins LTS < 2.319.3/Jenkins 每週版 < 2.334 多個弱點	Nessus	CGI abuses	2022/2/9	2024/6/4	high
158672	Jenkins Enterprise and Operations Center 2.277.x < 2.277.43.0.6 / 2.303.x < 2.303.30.0.5 / 2.319.3.3 多個 DoS 弱點 (CloudBees 安全公告 2022-02-09)	Nessus	CGI abuses	2022/3/7	2024/6/4	high
158672	Jenkins Enterprise and Operations Center 2.277.x< 2.277.43.0.6/ 2.303.x< 2.303.30.0.5/ 2.319.3.3複数の DoS (CloudBees セキュリティアドバイザリ 2022 年 2 月 9 日)	Nessus	CGI abuses	2022/3/7	2024/6/4	high
158672	Jenkins Enterprise and Operations Center 2.277.x < 2.277.43.0.6 / 2.303.x < 2.303.30.0.5 / 2.319.3.3 多个漏洞（CloudBees 安全公告 2022-02-09）	Nessus	CGI abuses	2022/3/7	2024/6/4	high

偵測

搜尋 Plugin

high

high

high

high

high

high

high

high

high

high