远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2024:5481 公告中提及的多个漏洞的影响。

    Red Hat JBoss Enterprise Application Platform 8 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 8.0.3 版本可替换 Red Hat JBoss Enterprise Application Platform 8.0.2，并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 8.0.3 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

    安全修复：

    * cxf-core：使用 Aegis 数据绑定 [eap-8.0.z] 的 Apache CXF SSRF 漏洞 (CVE-2024-28752)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 时序变体的影响（Marvin 攻击）[eap-8.0.z] (CVE-2024-30171)

    * netty-codec-http：无限制或节流的资源分配 [eap-8.0.z] (CVE-2024-29025)

    * org.bouncycastle：bcprov-jdk18on：ScalarUtil 类的 ED25519 验证中存在无限循环 [eap-8.0.z] (CVE-2024-30172)

    * org.bouncycastle：bcprov-jdk18on：org.bouncycastle：导入含有构建的 F2m 参数的 EC 证书可能导致拒绝服务 [eap-8.0.z] (CVE-2024-29857)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

RHEL 9：Red Hat JBoss Enterprise Application Platform 8.0.3 安全更新（重要）(RHSA-2024:5481)

critical Nessus 插件 ID 205636

版本 1.2

版本 1.1

版本 1.2 Nov 7, 2024, 2:36 PM CVSS metrics ("CVSSv2 score" set to 9.4) CVSS metrics ("CVSSv2 vector" set to "CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N") CVSS metrics ("Cvssv4 score" set to 0.0) CVSSv2 severity (based on None, severity decreased from "High" to "Low") Plugin metadata Plugin Feed: 202411071436
版本 1.1 Aug 16, 2024, 1:45 AM New Plugin Feed: 202408160145