遠端 Redhat Enterprise Linux 8 主機上安裝的多個套件受到 RHSA-2024:5479 公告中提及的多個弱點影響。

    Red Hat JBoss Enterprise Application Platform 8 是一個以 WildFly 應用程式執行時間為基礎的 Java 應用程式平台。本版本 Red Hat JBoss Enterprise Application Platform 8.0.3 是 Red Hat JBoss Enterprise Application Platform 8.0.2 的替代版本，其中包含錯誤修正和增強功能。如需此公告中包含的最重要的錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 8.0.3 版本資訊。

    安全性修正：

    * cxf-core：使用 Aegis 資料繫結的 Apache CXF SSRF 弱點 [eap-8.0.z] (CVE-2024-28752)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 計時變體的影響 (Marvin 攻擊) [eap-8.0.z] (CVE-2024-30171)

    - netty-codec-http：無限制或節流的資源配置問題 [eap-8.0.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on：ScalarUtil 類別的 ED25519 驗證中的無限迴圈問題 [eap-8.0.z] (CVE-2024-30172)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle：匯入包含特製 F2m 參數的 EC 憑證時可能導致拒絕服務 [eap-8.0.z] (CVE-2024-29857)

    如需安全性問題的詳細資料，包括影響、CVSS 分數、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

因此，會受到 ALAS2023-2024-636 公告中所提及的多個弱點影響。

    在 Bouncy Castle Java Cryptography API … 之前的版本中發現一個問題。

    注意：https://github.com/bcgit/bc-java/issues/1635NOTE:
    https://www.bouncycastle.org/latest_releases.htmlDEBIANBUG: [1070655] (CVE-2024-29857)

    在 Bouncy Castle Java Cryptography API BC 1.78 之前的版本中發現一個問題。在 BCJSSE 中啟用端點識別，並在沒有明確主機名稱的情況下建立 SSL 通訊端時 (如 HttpsURLConnection 所發生的情況)，在某些情況下，可針對 DNS 解析的 IP 位址執行主機名稱驗證，進而增加 DNS 毒害的可能性。(CVE-2024-34447)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 9 主機上安裝的多個套件受到 RHSA-2024:5481 公告中提及的多個弱點影響。

    Red Hat JBoss Enterprise Application Platform 8 是一個以 WildFly 應用程式執行時間為基礎的 Java 應用程式平台。本版本 Red Hat JBoss Enterprise Application Platform 8.0.3 是 Red Hat JBoss Enterprise Application Platform 8.0.2 的替代版本，其中包含錯誤修正和增強功能。如需此公告中包含的最重要的錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 8.0.3 版本資訊。

    安全性修正：

    * cxf-core：使用 Aegis 資料繫結的 Apache CXF SSRF 弱點 [eap-8.0.z] (CVE-2024-28752)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 計時變體的影響 (Marvin 攻擊) [eap-8.0.z] (CVE-2024-30171)

    - netty-codec-http：無限制或節流的資源配置問題 [eap-8.0.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on：ScalarUtil 類別的 ED25519 驗證中的無限迴圈問題 [eap-8.0.z] (CVE-2024-30172)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle：匯入包含特製 F2m 參數的 EC 憑證時可能導致拒絕服務 [eap-8.0.z] (CVE-2024-29857)

    如需安全性問題的詳細資料，包括影響、CVSS 分數、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 9 主機上安裝的多個套件受到 RHSA-2024:5145 公告中提及的多個弱點影響。

    Red Hat JBoss Enterprise Application Platform 7 是一個以 WildFly 應用程式執行時間為基礎的 Java 應用程式平台。本版本 Red Hat JBoss Enterprise Application Platform 7.4.18 是 Red Hat JBoss Enterprise Application Platform 7.4.17 的替代版本，其中包含錯誤修正和增強功能。如需此公告中包含的最重要的錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 7.4.18 版本資訊。

    安全性修正：

    * undertow：使用 Java 17 TLSv1.3 NewSessionTicket 時的回應寫入懸置問題 [eap-7.4.z] (CVE-2024-5971)

    * undertow：LearningPushHandler 可導致遠端記憶體 DoS 攻擊 [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 計時變體的影響 (Marvin 攻擊) [eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle：匯入包含特製 F2m 參數的 EC 憑證時可能導致拒絕服務 [eap-7.4.z] (CVE-2024-29857)

    - netty-codec-http：無限製或節流的資源配置問題 [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on：ScalarUtil 類別的 ED25519 驗證中的無限迴圈問題 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2: httpd：CONTINUATION 框架 DoS [eap-7.4.z] (CVE-2024-27316)

    如需安全性問題的詳細資料，包括影響、CVSS 分數、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Enterprise Manager Base Platform 13.5.0.0 版本會受到 2025 年 1 月 CPU 公告中提及的一個弱點影響。

  - 在 1.78 之前的 Bouncy Castle Java (BC Java)、2.73.6 之前的 BC Java LTS、1.0.2.5 之前的 BC-FJA，以及 2.3.1 之前的 BC C# .Net 中，在 ECCurve.java 和 ECCurve.cs 中發現一個問題。匯入具有特製 F2m 參數的 EC 憑證可導致在評估曲線參數期間過度消耗 CPU。(CVE-2024-29857)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 7 主機上安裝的多個套件受到 RHSA-2024:5143 公告中提及的多個弱點影響。

    Red Hat JBoss Enterprise Application Platform 7 是一個以 WildFly 應用程式執行時間為基礎的 Java 應用程式平台。本版本 Red Hat JBoss Enterprise Application Platform 7.4.18 是 Red Hat JBoss Enterprise Application Platform 7.4.17 的替代版本，其中包含錯誤修正和增強功能。如需此公告中包含的最重要的錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 7.4.18 版本資訊。

    安全性修正：

    * undertow：使用 Java 17 TLSv1.3 NewSessionTicket 時的回應寫入懸置問題 [eap-7.4.z] (CVE-2024-5971)

    * undertow：LearningPushHandler 可導致遠端記憶體 DoS 攻擊 [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 計時變體的影響 (Marvin 攻擊) [eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle：匯入包含特製 F2m 參數的 EC 憑證時可能導致拒絕服務 [eap-7.4.z] (CVE-2024-29857)

    - netty-codec-http：無限製或節流的資源配置問題 [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on：ScalarUtil 類別的 ED25519 驗證中的無限迴圈問題 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2: httpd：CONTINUATION 框架 DoS [eap-7.4.z] (CVE-2024-27316)

    如需安全性問題的詳細資料，包括影響、CVSS 分數、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上執行的 Atlassian Confluence Server 版本受到 CONFSERVER-97723 公告中提及的一個弱點影響。

  - 在 1.78 之前的 Bouncy Castle Java (BC Java)、2.73.6 之前的 BC Java LTS、1.0.2.5 之前的 BC-FJA，以及 2.3.1 之前的 BC C# .Net 中，在 ECCurve.java 和 ECCurve.cs 中發現一個問題。匯入具有特製 F2m 參數的 EC 憑證可導致在評估曲線參數期間過度消耗 CPU。(CVE-2024-29857)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 WebLogic Server 版本 12.2.1.4.0、14.1.1.0.0、14.1.2.0.0 皆會受到 2025 年 1 月 CPU 公告中提及的多個弱點影響。

  - 攻擊此弱點的難度較小，經由 T3、IIOP 存取網路的未經驗證攻擊者可以藉此入侵 Oracle WebLogic Server。若成功攻擊此弱點，則可能導致接管 Oracle WebLogic Server。(CVE-2024-23635)

  - 攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證攻擊者可藉此入侵 Oracle WebLogic Server。雖然弱點是在 Oracle WebLogic Server 中，但攻擊可能會顯著影響其他的產品 (範圍變更)。若攻擊成功，攻擊者可在未經授權的情況下造成 Oracle WebLogic Server 懸置或經常重複性當機 (完全 DOS)。(CVE-2023-7272)

  - 攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證攻擊者可藉此入侵 Oracle WebLogic Server。若攻擊成功，攻擊者可在未經授權的情況下造成 Oracle WebLogic Server 懸置或經常重複性當機 (完全 DOS)。(CVE-2024-47554)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - 在 1.78 之前的 Bouncy Castle Java (BC Java)、2.73.6 之前的 BC Java LTS、1.0.2.5 之前的 BC-FJA，以及 2.3.1 之前的 BC C# .Net 中，在 ECCurve.java 和 ECCurve.cs 中發現一個問題。匯入具有特製 F2m 參數的 EC 憑證可導致在評估曲線參數期間過度消耗 CPU。(CVE-2024-29857)

請注意，Nessus 依賴供應商報告的套件存在。

遠端 Redhat Enterprise Linux 8 主機上安裝的多個套件受到 RHSA-2024:5144 公告中提及的多個弱點影響。

    Red Hat JBoss Enterprise Application Platform 7 是一個以 WildFly 應用程式執行時間為基礎的 Java 應用程式平台。本版本 Red Hat JBoss Enterprise Application Platform 7.4.18 是 Red Hat JBoss Enterprise Application Platform 7.4.17 的替代版本，其中包含錯誤修正和增強功能。如需此公告中包含的最重要的錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 7.4.18 版本資訊。

    安全性修正：

    * undertow：使用 Java 17 TLSv1.3 NewSessionTicket 時的回應寫入懸置問題 [eap-7.4.z] (CVE-2024-5971)

    * undertow：LearningPushHandler 可導致遠端記憶體 DoS 攻擊 [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 計時變體的影響 (Marvin 攻擊) [eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle:bcprov-jdk18on: org.bouncycastle：匯入包含特製 F2m 參數的 EC 憑證時可能導致拒絕服務 [eap-7.4.z] (CVE-2024-29857)

    - netty-codec-http：無限製或節流的資源配置問題 [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle:bcprov-jdk18on：ScalarUtil 類別的 ED25519 驗證中的無限迴圈問題 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2: httpd：CONTINUATION 框架 DoS [eap-7.4.z] (CVE-2024-27316)

    如需安全性問題的詳細資料，包括影響、CVSS 分數、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名稱	產品	系列	已發布	已更新	嚴重性
205637	RHEL 8：Red Hat JBoss Enterprise Application Platform 8.0.3 安全性更新 (重要) (RHSA-2024:5479)	Nessus	Red Hat Local Security Checks	2024/8/15	2025/9/22	critical
200264	Amazon Linux 2023：bouncycastle、bouncycastle-javadoc、bouncycastle-mail (ALAS2023-2024-636)	Nessus	Amazon Linux Local Security Checks	2024/6/10	2025/3/24	high
205636	RHEL 9：Red Hat JBoss Enterprise Application Platform 8.0.3 安全性更新 (重要) (RHSA-2024:5481)	Nessus	Red Hat Local Security Checks	2024/8/15	2025/9/22	critical
205220	RHEL 9：Red Hat JBoss Enterprise Application Platform 7.4.18 安全性更新 (重要) (RHSA-2024:5145)	Nessus	Red Hat Local Security Checks	2024/8/8	2025/9/22	high
214552	Oracle Enterprise Manager Cloud Control (2025 年 1 月 CPU)	Nessus	Misc.	2025/1/23	2025/1/24	high
205218	RHEL 7：Red Hat JBoss Enterprise Application Platform 7.4.18 安全性更新 (重要) (RHSA-2024:5143)	Nessus	Red Hat Local Security Checks	2024/8/8	2025/9/22	high
209139	Atlassian Confluence < 7.19.26/7.20.x < 8.5.12/8.6.x < 8.9.4/9.0.1 (CONFSERVER-97723)	Nessus	CGI abuses	2024/10/16	2024/10/16	high
214580	Oracle WebLogic Server (2025 年 1 月 CPU)	Nessus	Misc.	2025/1/24	2025/2/7	medium
232110	Linux Distros 未修補的弱點：CVE-2024-29857	Nessus	Misc.	2025/3/6	2025/10/14	high
205219	RHEL 8：Red Hat JBoss Enterprise Application Platform 7.4.18 安全性更新 (重要) (RHSA-2024:5144)	Nessus	Red Hat Local Security Checks	2024/8/8	2025/9/22	high

偵測

搜尋 Plugin

critical

high

critical

high

high

high

high

medium

high

high