遠端 Redhat Enterprise Linux 7 主機上安裝的多個套件受到 RHSA-2022: 4918 公告中提及的多個弱點影響。

  - jackson-databind：透過大型巢狀物件引發的拒絕服務弱點 (CVE-2020-36518)

  - netty-codec：Bzip2Decoder 不允許設定解壓縮資料的大小限制 (CVE-2021-37136)

  - netty-codec：SnappyFrameDecoder 不會限制區塊長度，而且可能會以不必要的方式緩衝可跳過的區塊 (CVE-2021-37137)

  - h2：主控台中存在遠端程式碼執行弱點 (CVE-2021-42392)

  - netty：標頭名稱中的控製字元可能導致 HTTP 要求走私 (CVE-2021-43797)

  - xnio：org.xnio.StreamConnection.notifyReadClosed 記錄到除錯，而非 stderr (CVE-2022-0084)

  - jboss-client：遠端用戶端交易中存在記憶體洩漏問題 (CVE-2022-0853)

  - wildfly：在啟用 Elytron Security 的情況下，EJB 工作階段內容的 Wildfly 管理會傳回錯誤的呼叫者主體 (CVE-2022-0866)

  - undertow：EAP 7 中對 400 的雙重 AJP 回應會導致 CPING 失敗 (CVE-2022-1319)

  - OpenJDK：由於 XMLEntityScanner 未正確處理新行而造成無限迴圈 (JAXP, 8270646) (CVE-2022-21299)

  - mysql-connector-java：存在難以利用的弱點，允許具有網路存取權限的高權限攻擊者透過多個通訊協定入侵 MySQL Connectors (CVE-2022-21363)

  - h2：透過 JNDI 從遠端伺服器載入自訂類別 (CVE-2022-23221)

  - xerces-j2：處理特製 XML 文件承載時會發生無限迴圈 (CVE-2022-23437)

  - artemis-commons：Apache ActiveMQ Artemis 存在 DoS 弱點 (CVE-2022-23913)

  - Moment.js：moment.locale 中存在路徑遊走弱點 (CVE-2022-24785)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

偵測

RHEL 7：RHEL 7 上的 Red Hat JBoss 企業應用平台 7.4.5 安全性更新 (中等) (RHSA-2022: 4918)

critical Nessus Plugin ID 161911

版本 1.11