远程 Redhat Enterprise Linux 5 主机上安装的多个程序包受到 RHSA-2018:2742 公告中提及的多个漏洞影响。

    Red Hat JBoss Enterprise Application Platform 是适用于基于 JBoss Application Server 的 Java 应用程序的平台。

    此 Red Hat JBoss Enterprise Application Platform 6.4.21 版本可替换 Red Hat JBoss Enterprise Application Platform 6.4.20，并包含多项缺陷修复和增强功能，详情请参阅“参考”部分中链接的版本说明文档。

    安全修复：

    * hibernate-validator：在安全管理器下运行时执行权限提升 (CVE-2017-7536)

    * guava：在 AtomicDoubleArray 和 CompoundOrdering 类中不受限制的内存分配允许远程攻击者造成拒绝服务 (CVE-2018-10237)

    * picketlink：CVE-2017-2582 的修复在 picketlink.xml 中破坏系统属性进行属性替换的功能 (CVE-2017-2582)

    * jbossweb：tomcat：UTF-8 解码器中的缺陷会导致 DoS (CVE-2018-1336)

    有关此安全问题的详细信息，包括其影响、CVSS 分数和其他相关信息，请参阅列于“参考”部分的 CVE 页面。

    CVE-2017-2582 问题由 Hynek Mlnarik (Red Hat) 发现，CVE-2017-7536 问题由 Gunnar Morling (Red Hat) 发现。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的所有受支持的 GoldenGate 版本受到 2021 年 10 月 CPU 公告中提及的多个漏洞的影响。

  - Oracle GoldenGate 中存在漏洞（组件：安装 (Dell BSAFE Crypto-J)）。支持的版本中受影响的是低于 19.1.0.0.0.210420 的版本。可轻松利用的漏洞允许未经身份验证的攻击者通过 Oracle Net 进行网络访问，从而破坏 Oracle GoldenGate。除攻击者以外的他人进行交互是实现成功攻击的必要条件。成功攻击此漏洞可导致在未经授权的情况下访问关键数据，或完整访问所有 Oracle GoldenGate 可访问数据。(CVE-2019-3740)

  - Oracle GoldenGate 中存在深度安全问题（组件：安装 (jQuery)）。无法在产品环境中利用此漏洞。(CVE-2020-11023)   
  - Oracle GoldenGate 中存在深度安全问题（组件：常规 (Apache Batik)）。无法在产品环境中利用此漏洞。(CVE-2020-11987)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。

远程 Redhat Enterprise Linux 7 主机上安装的一个程序包受到 RHSA-2018:2598 公告中提及的一个漏洞影响。

  - guava：在 AtomicDoubleArray 和 CompoundOrdering 类中不受限制的内存分配允许远程攻击者造成拒绝服务 (CVE-2018-10237)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2018:2927 公告中提及的多个漏洞的影响。

    Red Hat Satellite 是基于 Linux 基础架构的系统管理工具。
    它允许通过单一集中化工具配置、远程管理和监控多项 Linux 部署。

    安全修复：

    * jackson-databind：黑名单不完全造成反序列化不安全（CVE-2017-7525 修复不完全）(CVE-2017-15095)

    * hornetq：XPath 选择器中的 XXE/SSRF (CVE-2015-3208)

    * bouncycastle：GCMBlockCipher 中信息泄露 (CVE-2015-6644) 

    * bouncycastle：在签名验证过程中，DSA 没有充分验证 ASN.1 编码允许未签名的数据注入 (CVE-2016-1000338)

    * bouncycastle：AESFastEngine 类中信息泄露 (CVE-2016-1000339)

    * bouncycastle：通过时序攻击，在 DSA 签名生成中信息暴露 (CVE-2016-1000341)

    * bouncycastle：ECDSA 未正确验证签名的 ASN.1 编码 (CVE-2016-1000342)

    * bouncycastle：DHIES 实施允许 ECB 模式的使用 (CVE-2016-1000344)

    * bouncycastle：DHIES/ECIES CBC 模式易受到 padding oracle 攻击 (CVE-2016-1000345)

    * bouncycastle：未充分验证其他方的 DH 公钥 (CVE-2016-1000346)

    * bouncycastle：ECIES 实施允许 ECB 模式的使用 (CVE-2016-1000352)

    * python-django：SocketServer 和 ServerSocketReceiver 中序列化漏洞 (CVE-2017-5929)

    * python-django：通过用户提供的数字重定向 URL 进行公开重定向和可能的 XSS 攻击 (CVE-2017-7233)

    * hibernate-validator：在安全管理器下运行时执行权限提升 (CVE-2017-7536)

    * puppet：puppet-agent 中的环境泄漏 (CVE-2017-10690)

    * Satellite 6：规则过滤器自动完成功能中 XSS (CVE-2017-12175)

    * foreman：实际名称或值中存储的 XSS (CVE-2017-15100)

    * pulp：通过 API 泄露的敏感凭据 (CVE-2018-1090)

    * foreman：由于未正确处理小组件 id 参数，造成 SQL 注入 (CVE-2018-1096)

    * foreman：foreman API 暴露的 Ovirt 管理员密码 (CVE-2018-1097)

    * django：在正则表达式中通过 'urlize’ 和 'urlizetrunc’ 执行灾难性回溯 (CVE-2018-7536)

    * django：在正则表达式中通过“truncatechars_html”和“truncatewords_html”灾难性回溯 (CVE-2018-7537)

    * guava：在 AtomicDoubleArray 和 CompoundOrdering 类中不受限制的内存分配允许远程攻击者造成拒绝服务 (CVE-2018-10237)

    * bouncycastle：math.raw.Nat 中存在进位传播缺陷???类 (CVE-2016-1000340)

    * bouncycastle：DSA 密钥对生成器默认生成弱私钥 (CVE-2016-1000343)

    * puppet：解包 tar/mini.rb 中的 tarball 可创建具有不安全权限的文件 (CVE-2017-10689)

    * bouncycastle：BKS-V1 keystore 文件容易受到普通哈希冲突的影响 (CVE-2018-5382)

    有关此安全问题的详细信息，包括其影响、CVSS 分数和其他相关信息，请参阅列于“参考”部分的 CVE 页面。

    Red Hat 在此感谢 Liao Xinxi (NSFOCUS) 报告 CVE-2017-15095 以及 Django 项目报告 CVE-2017-7233、CVE-2018-7536 和 CVE-2018-7537。CVE-2017-7536 问题由 Gunnar Morling (Red Hat) 发现，CVE-2018-1096 问题由 Martin Povolny (Red Hat) 发现。Red Hat 在此也感谢 David Jorm (IIX Product Security) 报告 CVE-2015-3208。

    其他变更：

    此更新还修复了多个缺陷并添加了多项增强功能。“参考”部分链接的版本说明文档中提供这些更改的文档。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WebLogic Server 版本受到 2021 年 1 月 CPU 公告中提及的多个漏洞的影响。

  - Core 组件中存在一个不明漏洞。未经身份验证的远程攻击者可以通过 IIOP、T3 进行网络访问，利用此问题破坏服务器。成功利用此漏洞进行攻击可导致接管 Oracle WebLogic Server。(CVE-2021-2108)

  - Console 组件中存在一个不明漏洞。经过身份验证的远程攻击者可以通过 HTTP 进行网络访问，利用此问题破坏服务器。成功利用此漏洞进行攻击可导致接管 Oracle WebLogic Server。(CVE-2021-2109)

  - Samples 组件中存在一个不明漏洞。未经身份验证的远程攻击者可以通过 IIOP、T3 进行网络访问，利用此问题破坏服务器。成功利用此漏洞进行攻击可导致接管 Oracle WebLogic Server。(CVE-2021-2075)

请注意，Nessus 尚未测试此问题，而是只依赖于应用程序自我报告的版本号。

遠端主機上安裝的所有受支援的 GoldenGate 版本受到 2021 年 10 月 CPU 公告中提及的多個弱點影響。

  - Oracle GoldenGate 中的弱點 (元件：安裝 (Dell BSAFE Crypto-J))。受影響的支援版本早於 19.1.0.0.0.210420。此弱點可輕易攻擊成功，具有網路存取權的未經驗證攻擊者可利用此弱點透過 Oracle Net 入侵 Oracle GoldenGate。若要成功攻擊，必須有攻擊者以外之他人的互動。若成功攻擊此弱點，攻擊者未經授權即可存取重要資料，或完整存取所有可供存取的 Oracle GoldenGate 資料。(CVE-2019-3740)

  - Oracle GoldenGate 中的 Security-in-Depth 問題 (元件：安裝 (jQuery))。無法在此產品的內容中惡意利用此弱點。(CVE-2020-11023)   
  - Oracle GoldenGate 中的 Security-in-Depth 問題 (元件：General (Apache Batik))。無法在此產品的內容中惡意利用此弱點。(CVE-2020-11987)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

遠端 Redhat Enterprise Linux 5 主機上安裝的套件受到 RHSA-2018:2742 公告中提及的多個弱點影響。

    Red Hat JBoss Enterprise Application Platform 是一個以 JBoss Application Server 為基礎，並提供給 Java 應用程式使用的平台。

    此 Red Hat JBoss Enterprise Application Platform 6.4.21 版本是 Red Hat JBoss Enterprise Application Platform 6.4.20 的替代版本，其中包含數個錯誤修正和增強功能，詳情請參閱〈參照〉中的「版本資訊」連結。

    安全性修正：

    * hibernate-validator：在安全性管理員下執行時發生特權提升 (CVE-2017-7536)

    * guava：AtomicDoubleArray 和 CompoundOrdering 類別中無限制的記憶體配置允許遠端攻擊者造成拒絕服務 (CVE-2018-10237)

    * picketlink：CVE-2017-2582 的修正損毀了 picketlink.xml 中的系統屬性取代屬性的功能 (CVE-2017-2582)

    * jbossweb：* tomcat：UTF-8 解碼器中的錯誤可能會導致 DoS (CVE-2018-1336)

    如需安全性問題的詳細資料，包括影響、CVSS 分數及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

    CVE-2017-2582 問題由 Hynek Mlnarik (Red Hat) 所發現，而 CVE-2017-7536 問題由 Gunnar Morling (Red Hat) 所發現。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 7 主機上安裝的套件受到 RHSA-2018:2598 公告中提及的弱點影響。

  - guava：AtomicDoubleArray 和 CompoundOrdering 類別中無限制的記憶體配置允許遠端攻擊者造成拒絕服務 (CVE-2018-10237)

請注意，Nessus 並未測試此問題，而是僅根據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 7 主機已安裝受到多個弱點影響的套件，如 RHSA-2018:2927 公告中所提及。

    Red Hat Satellite 是一種適用於 Linux 型基礎結構的系統管理工具。
    只要使用一個集中式工具，就可以佈建、遠端管理和監控多個 Linux 部署。

    安全性修正：

    * jackson-databind：因為不完整的封鎖清單導致不安全的還原序列化 (CVE-2017-7525 的修正不完整) (CVE-2017-15095)

    * hornetq：XPath 選取器中的 XXE/SSRF (CVE-2015-3208)

    * bouncycastle：GCMBlockCipher 中的資訊洩漏 (CVE-2015-6644)

    * bouncycastle：DSA 在簽章驗證期間未完整驗證 ASN.1 編碼，導致插入未簽章的資料 (CVE-2016-1000338)

    * bouncycastle：AESFastEngine 類別中的資訊洩漏 (CVE-2016-1000339)

    * bouncycastle：透過計時攻擊，DSA 簽章產生中發生資訊洩漏 (CVE-2016-1000341)

    * bouncycastle：ECDSA 未正確驗證 ASN.1 簽章的編碼 (CVE-2016-1000342)

    * bouncycastle：DHIES 實作允許使用 ECB 模式 (CVE-2016-1000344)

    * bouncycastle：DHIES/ECIES CBC 模式易受 padding oracle 攻擊 (CVE-2016-1000345)

    * bouncycastle：未完整驗證其他方的 DH 公開金鑰 (CVE-2016-1000346)

    * bouncycastle：ECIES 實作允許使用 ECB 模式 (CVE-2016-1000352)

    * logback：SocketServer 和 ServerSocketReceiver 中發生序列化弱點 (CVE-2017-5929)

    * python-django：透過使用者提供的數值重新導向 URL，造成開放重新導向和可能的 XSS 攻擊 (CVE-2017-7233)

    * hibernate-validator：在安全性管理員下執行時發生特權提升 (CVE-2017-7536)

    * puppet：puppet-agent 中的環境洩漏 (CVE-2017-10690)

    * Satellite 6：探索規則篩選自動完成功能中發生 XSS (CVE-2017-12175)

    * foreman：將 XSS 儲存為事實名稱或值 (CVE-2017-15100)

    * pulp：透過 API 洩漏的敏感憑證 (CVE-2018-1090)

    * foreman：因 widget id 參數不當處理而導致的 SQL 插入攻擊 (CVE-2018-1096)

    * foreman：foreman API 洩漏 Ovirt 管理員密碼 (CVE-2018-1097)

    * django：透過 'urlize' 和 'urlizetrunc' 造成重大的規則運算式回溯 (CVE-2018-7536)

    * django：透過「truncatechars_html」和「truncatewords_html」造成重大的規則運算式回溯 (CVE-2018-7537)

    * guava：AtomicDoubleArray 和 CompoundOrdering 類別中無限制的記憶體配置允許遠端攻擊者造成拒絕服務 (CVE-2018-10237)

    * bouncycastle：math.raw.Nat? 類別中的進位傳播錯誤 (CVE-2016-1000340)

    * bouncycastle：DSA 金鑰組產生器根據預設會產生弱式私密金鑰 (CVE-2016-1000343)

    * puppet：解壓縮 tar/mini.rb 中的 tarball 可能會建立具有不安全權限的檔案 (CVE-2017-10689)

    * bouncycastle：BKS-V1 keystore 檔案容易發生簡單的雜湊碰撞 (CVE-2018-5382)

    如需安全性問題的詳細資料，包括影響、CVSS 分數及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

    Red Hat 感謝 Liao Xinxi (NSFOCUS) 報告 CVE-2017-15095；以及 Django 專案報告 CVE-2017-7233、CVE-2018-7536 和 CVE-2018-7537。CVE-2017-7536 問題由 Gunnar Morling (Red Hat) 所發現，而 CVE-2018-1096 問題由 Martin Povolny (Red Hat) 所發現。Red Hat 也感謝 David Jorm (IIX Product Security) 報告 CVE-2015-3208。

    其他變更：

    此更新亦可修正數個錯誤，並新增數個增強功能。這些變更的相關文件可從〈參照〉一節中的「版本資訊」文件連結中取得。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 WebLogic Server 版本受到 2021 年 1 月 CPU 公告中提及的多個弱點影響。

  - Core 元件中存在一個不明弱點。未經驗證的遠端攻擊者若能夠透過 IIOP、T3 存取網路，則可利用此問題入侵伺服器。若成功攻擊此弱點，可接管 Oracle WebLogic Server。(CVE-2021-2108)

  - 主控台元件中存在一個不明弱點。經驗證的攻擊者若能夠透過 HTTP 存取網路，則可利用此問題入侵伺服器。若成功攻擊此弱點，可接管 Oracle WebLogic Server。(CVE-2021-2109)

  - Samples 元件中存在一個不明弱點。未經驗證的遠端攻擊者若能夠透過 IIOP、T3 存取網路，則可利用此問題入侵伺服器。若成功攻擊此弱點，可接管 Oracle WebLogic Server。(CVE-2021-2075)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

ID	Name	Product	Family	Published	Updated	Severity
194122	RHEL 5：Red Hat JBoss Enterprise Application Platform 6.4.21 (RHSA-2018:2742)	Nessus	Red Hat Local Security Checks	4/27/2024	3/20/2025	high
154342	Oracle GoldenGate（2021 年 10 月 CPU）	Nessus	Misc.	10/22/2021	1/24/2025	high
194116	RHEL 7：opendaylight (RHSA-2018:2598)	Nessus	Red Hat Local Security Checks	4/27/2024	4/29/2025	medium
118185	RHEL 7：Satellite 6.4 (RHSA-2018:2927)	Nessus	Red Hat Local Security Checks	10/18/2018	8/29/2025	high
145264	Oracle WebLogic Server 多个漏洞（2021 年 1 月 CPU）	Nessus	Misc.	1/22/2021	11/29/2024	critical
154342	Oracle GoldenGate (2021 年 10 月 CPU)	Nessus	Misc.	10/22/2021	1/24/2025	high
194122	RHEL 5：Red Hat JBoss Enterprise Application Platform 6.4.21 (RHSA-2018:2742)	Nessus	Red Hat Local Security Checks	4/27/2024	3/20/2025	high
194116	RHEL 7：opendaylight (RHSA-2018:2598)	Nessus	Red Hat Local Security Checks	4/27/2024	4/29/2025	medium
118185	RHEL 7：Satellite 6.4 (RHSA-2018:2927)	Nessus	Red Hat Local Security Checks	10/18/2018	8/29/2025	high
145264	Oracle WebLogic Server 多個弱點 (2021 年 1 月 CPU)	Nessus	Misc.	1/22/2021	11/29/2024	critical

Detections

Analytics

Plugins Search

high

high

medium

high

critical

high

high

medium

high

critical