远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2024:3760 公告中提及的漏洞的影响。

    Red Hat 身份管理 (IdM) 是一种集中式的认证、身份管理和授权解决方案，同时适用传统企业环境和基于云的企业环境。

    安全修复：

    * ipa：用户可获取所有域用户的密码哈希，并执行离线暴力破解 (CVE-2024-3183)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:3759 公告中提及的多个漏洞的影响。

    Red Hat 身份管理 (IdM) 是一种集中式的认证、身份管理和授权解决方案，同时适用传统企业环境和基于云的企业环境。

    安全修复：

    * CVE-2024-2698 freeipa：委派规则允许代理服务冒充任何用户以访问其他目标服务

    * CVE-2024-3183 freeipa：用户可获取所有域用户的密码哈希，并执行离线暴力破解

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2024:3761 公告中提及的漏洞影响。

    Red Hat 身份管理 (IdM) 是一种集中式的认证、身份管理和授权解决方案，同时适用传统企业环境和基于云的企业环境。

    安全修复：

    * ipa：freeipa：用户可获取所有域用户的密码哈希，并执行离线暴力破解 (CVE-2024-3183)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:3763 公告中提及的一个漏洞影响。

    libnghttp2 是在 C 中的超文本传输协议版本 2 (HTTP/2) 协议的实现。

    安全修复：

    * nghttp2：CONTINUATION 框架 DoS（CVE-2024-28182、VU#421644.5）

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:3755 公告中提及的多个漏洞的影响。

    Red Hat 身份管理 (IdM) 是一种集中式的认证、身份管理和授权解决方案，同时适用传统企业环境和基于云的企业环境。

    安全修复：

    * CVE-2024-2698 freeipa：委派规则允许代理服务冒充任何用户以访问其他目标服务

    * CVE-2024-3183 freeipa：用户可获取所有域用户的密码哈希，并执行离线暴力破解

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的多个程序包受到 RHSA-2024:3741 公告中提及的多个漏洞影响。

    Berkeley Internet Name Domain (BIND) 是域名系统 (DNS) 协议的一种实现。
    BIND 包含一个 DNS 服务器 (named)、一个解析器库（与 DNS 接合时供应用程序使用的例程），以及用于验证 DNS 服务器是否正常运行的工具。

    Bind-dyndb-ldap 提供适用于 BIND 的 LDAP 后端插件。它支持动态更新和内部缓存，所以有助于减轻 LDAP 服务器上的负载。

    动态主机配置协议 (DHCP) 是一项允许 IP 网络上的单个设备获取自己的网络配置信息的协议，这些信息包括 IP 地址、子网掩码和广播地址。dhcp 程序包提供在网络上启用并管理 DHCP 所需的中继代理程序和 ISC DHCP 服务。

    安全修复：

    * bind：KeyTrap - DNSSEC 验证器中发生 CPU 被大量消耗 (CVE-2023-50387)

    * bind：准备 NSEC3 最近封装程序证明会导致 CPU 资源耗尽 (CVE-2023-50868)

    * bind：解析大量 DNS 消息可能导致 CPU 负载过重 (CVE-2023-4408)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2024:3671 公告中提及的多个漏洞影响。

    Ruby 是一种可扩展的直译式面向对象的脚本语言。它具有处理文本文件和执行系统管理任务的功能。

    下列程序包已升级到更高的上游版本：ruby (3.3)。(RHEL-37697)

    安全修复：

    * ruby：StringIO 中的缓冲区越界读取漏洞 (CVE-2024-27280)

    * ruby：RDoc 中的 .rdoc_options 存在 RCE 漏洞 (CVE-2024-27281)

    * ruby：正则表达式搜索引起的任意内存地址读取漏洞 (CVE-2024-27282)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的多个程序包受到 RHSA-2024:3701 公告中提及的漏洞影响。

    libnghttp2 是在 C 中的超文本传输协议版本 2 (HTTP/2) 协议的实现。

    安全修复：

    * nghttp2：CONTINUATION 框架 DoS（CVE-2024-28182、VU#421644.5）

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:3685 公告中提及的漏洞的影响。

    IBM Java SE 版本 8 包括 IBM Java Runtime Environment 和 IBM Java 软件开发工具包。

    此更新将 IBM Java SE 8 升级到版本 8 SR8-FP15。

    安全修复：

    * IBM JDK：对象请求代理 (ORB) 存在拒绝服务漏洞 (CVE-2023-38264)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:3670 公告中提及的多个漏洞的影响。

    Ruby 是一种可扩展的直译式面向对象的脚本语言。它具有处理文本文件和执行系统管理任务的功能。

    下列程序包已升级到更高的上游版本：ruby (3.3)。(RHEL-37446)

    安全修复：

    * ruby：StringIO 中的缓冲区越界读取漏洞 (CVE-2024-27280)

    * ruby：RDoc 中的 .rdoc_options 存在 RCE 漏洞 (CVE-2024-27281)

    * ruby：正则表达式搜索引起的任意内存地址读取漏洞 (CVE-2024-27282)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的多个程序包受到 RHSA-2024:3659 公告中提及的一个漏洞影响。

    Booth 群集工单管理器是桥接多个站点的高可用性群集的组件，尤其用于向本地 Pacemaker 群集资源管理器提供决策输入。Booth 群集工单管理器按照基于一致性的分布式服务方式运行，可能位于单独的物理网络上。Booth 构造促成的工单是可绑定到某些资源的授权单位，从而确保资源一次仅在一个（获得授权的）站点上运行。

    安全补丁：

    * booth：特别构建的哈希可导致 Booth 服务器接受无效的 HMAC (CVE-2024-3049)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的多个程序包受到 RHSA-2024:3667 公告中提及的一个漏洞影响。

    Cockpit 让用户可利用网页浏览器管理 GNU/Linux 服务器。其提供网络配置、日志检查、诊断报告、SELinux 故障排除、交互式命令行会话等等。

    安全修复：

    * cockpit：删除具有构建名称的 sosreport 时会发生命令注入问题 (CVE-2024-2947)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2024:3669 公告中提及的漏洞影响。

    less 实用工具是与 more 类似的文本文件浏览器，但允许用户在文件中前后移动。由于 less 在启动时不会读取整个输入文件，因此启动速度也比普通文本编辑器快。

    安全修复：

    * less：OS 命令注入 (CVE-2024-32487)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的多个程序包受到 RHSA-2024:3665 公告中提及的一个漏洞影响。

    libnghttp2 是在 C 中的超文本传输协议版本 2 (HTTP/2) 协议的实现。

    安全修复：

    * nghttp2：CONTINUATION 框架 DoS（CVE-2024-28182、VU#421644.5）

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的多个程序包受到 RHSA-2024:3661 公告中提及的一个漏洞影响。

    Booth 群集工单管理器是桥接多个站点的高可用性群集的组件，尤其用于向本地 Pacemaker 群集资源管理器提供决策输入。Booth 群集工单管理器按照基于一致性的分布式服务方式运行，可能位于单独的物理网络上。Booth 构造促成的工单是可绑定到某些资源的授权单位，从而确保资源一次仅在一个（获得授权的）站点上运行。

    安全补丁：

    * booth：特别构建的哈希可导致 Booth 服务器接受无效的 HMAC (CVE-2024-3049)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的多个程序包受到 RHSA-2024:3657 公告中提及的一个漏洞影响。

    Booth 群集工单管理器是桥接多个站点的高可用性群集的组件，尤其用于向本地 Pacemaker 群集资源管理器提供决策输入。Booth 群集工单管理器按照基于一致性的分布式服务方式运行，可能位于单独的物理网络上。Booth 构造促成的工单是可绑定到某些资源的授权单位，从而确保资源一次仅在一个（获得授权的）站点上运行。

    安全补丁：

    * booth：特别构建的哈希可导致 Booth 服务器接受无效的 HMAC (CVE-2024-3049)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:3666 公告中提及的多个漏洞影响。

    Apache Tomcat 是适用于 Java Servlet 和 JavaServer Pages (JSP) 技术的 servlet 容器。

    安全修复：

    * Apache Tomcat：HTTP/2 标头处理 DoS (CVE-2024-24549)

    * Apache Tomcat：不完整的关闭握手造成 WebSocket DoS (CVE-2024-23672)

    错误修复：

    * 将 tomcat 衍合到版本 9.0.87 (JIRA:RHEL-35813)

    * 修正 tomcat 程序包的变更日志，以便明确提及已修复的 CVE (JIRA:RHEL-38548)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的多个程序包受到 RHSA-2024:3658 公告中提及的一个漏洞影响。

    Booth 群集工单管理器是桥接多个站点的高可用性群集的组件，尤其用于向本地 Pacemaker 群集资源管理器提供决策输入。Booth 群集工单管理器按照基于一致性的分布式服务方式运行，可能位于单独的物理网络上。Booth 构造促成的工单是可绑定到某些资源的授权单位，从而确保资源一次仅在一个（获得授权的）站点上运行。

    安全补丁：

    * booth：特别构建的哈希可导致 Booth 服务器接受无效的 HMAC (CVE-2024-3049)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的多个程序包受到 RHSA-2024:3660 公告中提及的一个漏洞影响。

    Booth 群集工单管理器是桥接多个站点的高可用性群集的组件，尤其用于向本地 Pacemaker 群集资源管理器提供决策输入。Booth 群集工单管理器按照基于一致性的分布式服务方式运行，可能位于单独的物理网络上。Booth 构造促成的工单是可绑定到某些资源的授权单位，从而确保资源一次仅在一个（获得授权的）站点上运行。

    安全补丁：

    * booth：特别构建的哈希可导致 Booth 服务器接受无效的 HMAC (CVE-2024-3049)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2024:3668 公告中提及的多个漏洞影响。

    Ruby 是一种可扩展的直译式面向对象的脚本语言。它具有处理文本文件和执行系统管理任务的功能。

    下列程序包已升级到更高的上游版本：ruby (3.1)。(RHEL-35449)

    安全修复：

    * ruby：StringIO 中的缓冲区越界读取漏洞 (CVE-2024-27280)

    * ruby：RDoc 中的 .rdoc_options 存在 RCE 漏洞 (CVE-2024-27281)

    * ruby：正则表达式搜索引起的任意内存地址读取漏洞 (CVE-2024-27282)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8/9 主机上安装的程序包受到 RHSA-2024:3496 公告中提及的漏洞影响。

    Red Hat OpenShift Container Platform 是 Red Hat 的云计算 Kubernetes 应用程序平台解决方案，专门针对本地部署或私有云端部署而设计。

    此公告含有适用于 Red Hat OpenShift Container Platform 4.13.43 版的 RPM 程序包。请参阅此版本之容器图像的下列公告：

    https://access.redhat.com/errata/RHSA-2024:3494

    安全修复：

    * cri-o：pod 注释引起的任意命令注入漏洞 (CVE-2024-3154)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

    如果相应的发布渠道中提供更新版的程序包和镜像，建议所有 OpenShift Container Platform 4.13 用户进行升级。要检查可用的更新，请使用 OpenShift CLI (oc) 或 Web 控制台。有关升级群集的说明，请访问 https://docs.openshift.com/container-platform/4.13/updating/updating-cluster-cli.html

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的多个程序包受到 RHSA-2024:3625 公告中提及的一个漏洞影响。

    libxml2 库是提供各种 XML 标准实现的开发工具箱。

    安全修复：

    * libxml2：XMLReader 中的释放后使用 (CVE-2024-25062)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:3635 公告中提及的多个漏洞影响。

    Jenkins 是一种持续集成服务器，可监控重复工作的执行情况，例如构建软件项目或 cron 作业。

    安全补丁：

    * jenkins-2-plugins：Git-server 插件存在任意文件读取漏洞 (CVE-2024-23899)

    * jenkins-plugin/script-security：存在通过构建的构造函数正文绕过沙盒的漏洞 (CVE-2024-34144)

    * jenkins-plugin/script-security：存在通过沙盒定义类绕过沙盒的漏洞 (CVE-2024-34145)

    * jenkins-2-plugins：HTML Publisher 插件存在输入清理不当问题 (CVE-2024-28149)

    * Jetty：停止接受来自有效客户端的新连接 (CVE-2024-22201)

    * SSH：对二进制数据包协议 (BPP) 的前缀截断攻击 (CVE-2023-48795)

    * golang-protobuf：如果取消在 protojson.Unmarshal 中封送某些形式的无效 JSON，会导致 golang-protobuf 的 encoding/protojson 和 internal/encoding/json 程序包中发生无限循环 (CVE-2024-24786)

    * jenkins-2-plugins：Matrix-project 插件存在路径遍历漏洞 (CVE-2024-23900)

    如需有关上述安全问题的更多详细信息（包括其影响、CVSS 得分以及确认等），请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的多个程序包受到 RHSA-2024:3626 公告中提及的一个漏洞影响。

    libxml2 库是提供各种 XML 标准实现的开发工具箱。

    安全修复：

    * libxml2：XMLReader 中的释放后使用 (CVE-2024-25062)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:3636 公告中提及的多个漏洞影响。

    Jenkins 是一种持续集成服务器，可监控重复工作的执行情况，例如构建软件项目或 cron 作业。

    安全补丁：

    * jenkins-2-plugins：Git-server 插件存在任意文件读取漏洞 (CVE-2024-23899)

    * jenkins-plugin/script-security：存在通过构建的构造函数正文绕过沙盒的漏洞 (CVE-2024-34144)

    * jenkins-plugin/script-security：存在通过沙盒定义类绕过沙盒的漏洞 (CVE-2024-34145)

    * jenkins-2-plugins：HTML Publisher 插件存在输入清理不当问题 (CVE-2024-28149)

    * jetty：停止接受来自有效客户端的新连接 (CVE-2024-22201)

    * SSH：对二进制数据包协议 (BPP) 的前缀截断攻击 (CVE-2023-48795)

    * golang-protobuf：如果取消在 protojson.Unmarshal 中封送某些形式的无效 JSON，会导致 golang-protobuf 的 encoding/protojson 和 internal/encoding/json 程序包中发生无限循环 (CVE-2024-24786)。

    * jenkins-2-plugins：Matrix-project 插件存在路径遍历漏洞 (CVE-2024-23900)

    如需有关上述安全问题的更多详细信息（包括其影响、CVSS 得分以及确认等），请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:3634 公告中提及的多个漏洞影响。

    Jenkins 是一种持续集成服务器，可监控重复工作的执行情况，例如构建软件项目或 cron 作业。

    安全补丁：

    * jenkins-2-plugins：Git-server 插件存在任意文件读取漏洞 (CVE-2024-23899)

    * jenkins-plugin/script-security：存在通过构建的构造函数正文绕过沙盒的漏洞 (CVE-2024-34144)

    * jenkins-plugin/script-security：存在通过沙盒定义类绕过沙盒的漏洞 (CVE-2024-34145)

    * jenkins-2-plugins：HTML Publisher 插件存在输入清理不当问题 (CVE-2024-28149)

    * jetty：停止接受来自有效客户端的新连接 (CVE-2024-22201)

    * SSH：对二进制数据包协议 (BPP) 的前缀截断攻击 (CVE-2023-48795)

    * golang-protobuf：如果取消在 protojson.Unmarshal 中封送某些形式的无效 JSON，会导致 golang-protobuf 的 encoding/protojson 和 internal/encoding/json 程序包中发生无限循环 (CVE-2024-24786)

    * jenkins-2-plugins：Matrix-project 插件存在路径遍历漏洞 (CVE-2024-23900)

    如需有关上述安全问题的更多详细信息（包括其影响、CVSS 得分以及确认等），请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:3627 公告中提及的多个漏洞影响。

    kernel-rt 程序包提供 Real Time Linux Kernel，支持对具有极高确定性要求的系统进行微调。

    安全修复：

    * 内核：RSA 解密操作中的 Marvin 漏洞边信道泄漏 (CVE-2023-6240)

    * 内核：vhost/vhost.c:vhost_new_msg() 中存在信息泄露 (CVE-2024-0340)

    * 内核：不受信任的 VMM 可触发 int80 syscall 处理 (CVE-2024-25744)

    * 内核：i2c：i801：修复区块进程调用事务 (CVE-2024-26593)

    * 内核：pvrusb2：修复上下文断开连接时发生的释放后使用漏洞 (CVE-2023-52445)

    * 内核：x86/fpu：停止依赖用户空间以防止 xsave 缓冲区中的信息出错，导致无限循环 (CVE-2024-26603)

    * 内核：i2c 中存在释放后使用漏洞 (CVE-2019-25162)

    * 内核：i2c：验证 compat ioctl 中的用户数据 (CVE-2021-46934)

    * 内核：media：dvbdev：修复 dvb_media_device_free() 中的内存泄漏 (CVE-2020-36777)

    * 内核：usb: hub：防止访问未初始化的 BOS 描述符 (CVE-2023-52477)

    * 内核：mtd：需要 locking 和 badblock ioctls 的写入权限 (CVE-2021-47055)

    * 内核：net/smc：修复 SMC-D connection dump 中的非法 rmb_desc 访问 (CVE-2024-26615)

    * 内核：vt：修复删除缓冲区中的字符时会发生内存重叠的问题 (CVE-2022-48627)

    * 内核：raid5_cache_count 中存在整数溢出漏洞 (CVE-2024-23307)

    * 内核：media: uvcvideo：uvc_query_v4l2_menu() 中存在越界读取漏洞 (CVE-2023-52565)

    * 内核：net：bridge：br_handle_frame_finish() 中的 data-races 包含数据争用问题 (CVE-2023-52578)

    * 内核：net: usb: smsc75xx：修复 __smsc75xx_read_reg 中的 uninit-value 访问漏洞 (CVE-2023-52528)

    * 内核：platform/x86：think-lmi：修复引用泄漏问题 (CVE-2023-52520)

    * 内核：RDMA/siw：修复连接失败处理漏洞 (CVE-2023-52513)

    * 内核：pid：初始化 `cad_pid` 时引用 (CVE-2021-47118)

    - 内核：net/sched：act_ct：修复 ooo frags 上的 skb 泄漏和崩溃问题 (CVE-2023-52610)

    * 内核：netfilter：nf_tables：取消绑定超时的匿名集时，将集标记为死集 (CVE-2024-26643)

    * 内核：netfilter：nf_tables：禁止为匿名集添加超时标记 (CVE-2024-26642)

    * 内核：i2c：i801：不要在总线重置时生成中断 (CVE-2021-47153)

    * 内核：xhci：正确处理 isoc Babble 和缓冲区溢出事件 (CVE-2024-26659)

    * 内核：hwmon：(coretemp) 修复越界内存访问漏洞 (CVE-2024-26664)

    * 内核：wifi: mac80211：修复启用 fast-xmit 时的争用条件问题 (CVE-2024-26779)

    * 内核：RDMA/srpt：支持指定 srpt_service_guid 参数 (CVE-2024-26744)

    * 内核：RDMA/qedr：修复 qedr_create_user_qp 错误流 (CVE-2024-26743)

    * 内核：tty：tty_buffer：修复 flush_to_ldisc 中的 softlockup (CVE-2021-47185)

    * 内核：do_sys_name_to_handle()：使用 kzalloc() 修复 kernel-infoleak (CVE-2024-26901)

    * 内核：RDMA/srpt：在 srpt 设备完全设置之前，不要注册事件处理程序 (CVE-2024-26872)

    * 内核：usb: ulpi：修复 debugfs 目录泄漏问题 (CVE-2024-26919)

    * 内核：usb: xhci：在 xhci_map_urb_for_dma 中添加错误处理 (CVE-2024-26964)

    * 内核：USB: core：修复 usb_deauthorize_interface() 中的死锁 (CVE-2024-26934)

    * 内核：USB：core：修复端口禁用 sysfs 属性中的死锁 (CVE-2024-26933)

    * 内核：fs: sysfs：修复 sysfs_break_active_protection() 中的引用泄漏问题 (CVE-2024-26993)

    * 内核：fat：修复 nostale filehandles 存在未初始化域问题 (CVE-2024-26973)

    * 内核：USB：usb-storage：防止 isd200_ata_command 中的除 0 错误 (CVE-2024-27059)

    错误修复：

    * kernel-rt：将 RT 源树更新到最新的 RHEL-8.10.z kernel (JIRA:RHEL-34640)

    * kernel-rt：epoll_wait 未报告对应用程序捕获所有事件的情况 (JIRA：RHEL-23022)

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:3618 公告中提及的多个漏洞的影响。

    内核程序包中包含 Linux 内核，后者是任何 Linux 操作系统的核心。

    安全修复：

    * 内核：RSA 解密操作中的 Marvin 漏洞边信道泄漏 (CVE-2023-6240)

    * 内核：vhost/vhost.c:vhost_new_msg() 中存在信息泄露 (CVE-2024-0340)

    * 内核：不受信任的 VMM 可触发 int80 syscall 处理 (CVE-2024-25744)

    * 内核：i2c：i801：修复区块进程调用事务 (CVE-2024-26593)

    * 内核：pvrusb2：修复上下文断开连接时发生的释放后使用漏洞 (CVE-2023-52445)

    * 内核：x86/fpu：停止依赖用户空间以防止 xsave 缓冲区中的信息出错，导致无限循环 (CVE-2024-26603)

    * 内核：i2c 中存在释放后使用漏洞 (CVE-2019-25162)

    * 内核：i2c：验证 compat ioctl 中的用户数据 (CVE-2021-46934)

    * 内核：media：dvbdev：修复 dvb_media_device_free() 中的内存泄漏 (CVE-2020-36777)

    * 内核：usb: hub：防止访问未初始化的 BOS 描述符 (CVE-2023-52477)

    * 内核：mtd：需要 locking 和 badblock ioctls 的写入权限 (CVE-2021-47055)

    * 内核：net/smc：修复 SMC-D connection dump 中的非法 rmb_desc 访问 (CVE-2024-26615)

    * 内核：vt：修复删除缓冲区中的字符时会发生内存重叠的问题 (CVE-2022-48627)

    * 内核：raid5_cache_count 中存在整数溢出漏洞 (CVE-2024-23307)

    * 内核：media: uvcvideo：uvc_query_v4l2_menu() 中存在越界读取漏洞 (CVE-2023-52565)

    * 内核：net：bridge：br_handle_frame_finish() 中的 data-races 包含数据争用问题 (CVE-2023-52578)

    * 内核：net: usb: smsc75xx：修复 __smsc75xx_read_reg 中的 uninit-value 访问漏洞 (CVE-2023-52528)

    * 内核：platform/x86：think-lmi：修复引用泄漏问题 (CVE-2023-52520)

    * 内核：RDMA/siw：修复连接失败处理漏洞 (CVE-2023-52513)

    * 内核：pid：初始化 `cad_pid` 时引用 (CVE-2021-47118)

    - 内核：net/sched：act_ct：修复 ooo frags 上的 skb 泄漏和崩溃问题 (CVE-2023-52610)

    * 内核：netfilter：nf_tables：取消绑定超时的匿名集时，将集标记为死集 (CVE-2024-26643)

    * 内核：netfilter：nf_tables：禁止为匿名集添加超时标记 (CVE-2024-26642)

    * 内核：i2c：i801：不要在总线重置时生成中断 (CVE-2021-47153)

    * 内核：xhci：正确处理 isoc Babble 和缓冲区溢出事件 (CVE-2024-26659)

    * 内核：hwmon：(coretemp) 修复越界内存访问漏洞 (CVE-2024-26664)

    * 内核：wifi: mac80211：修复启用 fast-xmit 时的争用条件问题 (CVE-2024-26779)

    * 内核：RDMA/srpt：支持指定 srpt_service_guid 参数 (CVE-2024-26744)

    * 内核：RDMA/qedr：修复 qedr_create_user_qp 错误流 (CVE-2024-26743)

    * 内核：tty：tty_buffer：修复 flush_to_ldisc 中的 softlockup (CVE-2021-47185)

    * 内核：do_sys_name_to_handle()：使用 kzalloc() 修复 kernel-infoleak (CVE-2024-26901)

    * 内核：RDMA/srpt：在 srpt 设备完全设置之前，不要注册事件处理程序 (CVE-2024-26872)

    * 内核：usb: ulpi：修复 debugfs 目录泄漏问题 (CVE-2024-26919)

    * 内核：usb: xhci：在 xhci_map_urb_for_dma 中添加错误处理 (CVE-2024-26964)

    * 内核：USB: core：修复 usb_deauthorize_interface() 中的死锁 (CVE-2024-26934)

    * 内核：USB：core：修复端口禁用 sysfs 属性中的死锁 (CVE-2024-26933)

    * 内核：fs: sysfs：修复 sysfs_break_active_protection() 中的引用泄漏问题 (CVE-2024-26993)

    * 内核：fat：修复 nostale filehandles 存在未初始化域问题 (CVE-2024-26973)

    * 内核：USB：usb-storage：防止 isd200_ata_command 中的除 0 错误 (CVE-2024-27059)

    * 内核：net:emac/emac-mac：修复 emac_mac_tx_buf_send 中的释放后使用漏洞 (CVE-2021-47013)

    * 内核：net: usb：修复 smsc75xx_bind 中的内存泄漏问题 (CVE-2021-47171)

    * 内核：powerpc/pseries：修复 papr_get_attr() 中潜在的内存泄漏问题 (CVE-2022-48669)

    * 内核：uio：修复 uio_open 中的释放后使用漏洞 (CVE-2023-52439)

    * 内核：wifi：ath9k：修复 ath9k_htc_txstatus() 中潜在的 array-index-out-of-bounds 读取问题 (CVE-2023-52594)

    * 内核：wifi：rt2x00：硬件重置时重新启动信标队列 (CVE-2023-52595)

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的多个程序包受到 RHSA-2024:3619 公告中提及的多个漏洞影响。

    内核程序包中包含 Linux 内核，后者是任何 Linux 操作系统的核心。

    安全修复：

    * 内核：ipv6: sr：修复可能存在的释放后使用和 null-ptr-deref 漏洞 (CVE-2024-26735)

    * 内核：fs: sysfs：修复 sysfs_break_active_protection() 中的引用泄漏问题 (CVE-2024-26993)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2024:3581 公告中提及的多个漏洞影响。

    Red Hat JBoss Enterprise Application Platform 8 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 8.0.2 版本可替换 Red Hat JBoss Enterprise Application Platform 8.0.1，并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 8.0.2 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

    安全修复：

    * jberet-core: jberet：jberet-core 记录数据库凭据 [eap-8.0.z] (CVE-2024-1102)

    * eap-galleon：自定义配置会创建不安全的 http-invoker [eap-8.0.z] (CVE-2023-4503)

    * eap: JBoss EAP：wildfly-elytron 有 SSRF 安全问题 [eap-8.0.z] (CVE-2024-1233)

    * eap: JBoss EAP：OIDC 应用程序尝试访问第二个租户，应提示用户登录 [eap-8.0.z] (CVE-2023-6236)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2024:3591 公告中提及的多个漏洞的影响。

    389 目录服务器是一款符合 LDAP 版本 3 (LDAPv3) 的服务器。基础程序包中包含轻型目录访问协议 (LDAP) 服务器和用于管理服务器的命令行实用工具。

    安全修复：

    * 389-ds-base：通过特别构建的 kerberos AS-REQ 请求可能造成拒绝服务 (CVE-2024-3657)

    * 389-ds-base：畸形 userPassword 属性可能会在 slapd/modify.c 的 do_modify 中造成崩溃 (CVE-2024-2199)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:3580 公告中提及的多个漏洞的影响。

    Red Hat JBoss Enterprise Application Platform 8 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 8.0.2 版本可替换 Red Hat JBoss Enterprise Application Platform 8.0.1，并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 8.0.2 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

    安全修复：

    * jberet-core: jberet：jberet-core 记录数据库凭据 [eap-8.0.z] (CVE-2024-1102)

    * eap-galleon：自定义配置会创建不安全的 http-invoker [eap-8.0.z] (CVE-2023-4503)

    * eap: JBoss EAP：wildfly-elytron 有 SSRF 安全问题 [eap-8.0.z] (CVE-2024-1233)

    * eap: JBoss EAP：OIDC 应用程序尝试访问第二个租户，应提示用户登录 [eap-8.0.z] (CVE-2023-6236)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2024:3588 公告中提及的多个漏洞的影响。

    glibc 程序包提供了标准 C 库 (libc)、POSIX 线程库 (libpthread)、标准 math 库 (libm)，以及名称服务器缓存后台程序 (nscd)，供系统中的多个程序使用。如果没有这些库，Linux 系统无法正常工作。

    安全修复：

    * glibc：iconv 中的越界写入可能导致远程执行代码 (CVE-2024-2961)

    * glibc：netgroup 缓存中存在基于堆栈的缓冲区溢出漏洞 (CVE-2024-33599)

    * glibc：netgroup 缓存插入失败后发生空指针取消引用 (CVE-2024-33600)

    * glibc：netgroup 缓存可在内存分配失败时终止后台程序 (CVE-2024-33601)

    * glibc：netgroup 缓存会假设 NSS 回调使用缓冲区内字符串 (CVE-2024-33602)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:3543 公告中提及的一个漏洞影响。

    安全修复：

    * python-idna：潜在 DoS，因 idna.encode() 受到特别构建的输入攻击造成的资源消耗问题引起 (CVE-2024-3651)

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2024:3544 公告中提及的多个漏洞影响。

    Node.js 是个软件开发平台，可使用 JavaScript 编程语言构建快速且可扩展的网络应用程序。

    安全修复：

    * nodejs：CONTINUATION 框架 DoS (CVE-2024-27983)
    * nodejs: nghttp2：CONTINUATION 框架 DoS (CVE-2024-28182)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:3567 公告中提及的漏洞的影响。

    Red Hat Single Sign-On 7.6 是基于 Keycloak 项目的独立服务器，其为 Web 和移动应用程序提供基于身份验证和标准的单点登录功能。

    此 RHEL 8 上的 Red Hat Single Sign-On 7.6.9 版本可替换 Red Hat Single Sign-On 7.6.8，并包含缺陷修复和增强功能，详情请参阅“参考”部分中链接的版本说明文档。

    安全修复：

    * 推送授权请求 (PAR) KC_RESTART Cookie 中的敏感信息暴露（CVE-2024-4540）

    有关此安全问题的详细信息，包括其影响、CVSS 分数和其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2024:3568 公告中提及的一个漏洞影响。

    Red Hat Single Sign-On 7.6 是基于 Keycloak 项目的独立服务器，其为 Web 和移动应用程序提供基于身份验证和标准的单点登录功能。

    此 RHEL 9 上的 Red Hat Single Sign-On 7.6.9 版本可替换 Red Hat Single Sign-On 7.6.8，并包含缺陷修复和增强功能，详情请参阅“参考”部分中链接的版本说明文档。

    安全修复：

    * 推送授权请求 (PAR) KC_RESTART Cookie 中的敏感信息暴露（CVE-2024-4540）

    有关此安全问题的详细信息，包括其影响、CVSS 分数和其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2024:3559 公告中提及的多个漏洞的影响。

    Red Hat JBoss Enterprise Application Platform 7 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 7.4.17 版本用于替换 Red Hat JBoss Enterprise Application Platform 7.4.16，并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 7.4.17 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

    安全修复：

    * cxf-core：使用 Aegis 数据绑定 [eap-7.4.z] 的 Apache CXF SSRF 漏洞 (CVE-2024-28752)

    * eap: JBoss EAP：wildfly-elytron 有 SSRF 安全问题 [eap-7.4.z] (CVE-2024-1233)

    * datatables.net：HTML 转义实体函数未转义数组内容 [eap-7.4.z] (CVE-2021-23445)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2024:3561 公告中提及的多个漏洞影响。

    Red Hat JBoss Enterprise Application Platform 7 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 7.4.17 版本用于替换 Red Hat JBoss Enterprise Application Platform 7.4.16，并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 7.4.17 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

    安全修复：

    * cxf-core：使用 Aegis 数据绑定 [eap-7.4.z] 的 Apache CXF SSRF 漏洞 (CVE-2024-28752)

    * eap: JBoss EAP：wildfly-elytron 有 SSRF 安全问题 [eap-7.4.z] (CVE-2024-1233)

    * datatables.net：HTML 转义实体函数未转义数组内容 [eap-7.4.z] (CVE-2021-23445)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:3560 公告中提及的多个漏洞的影响。

    Red Hat JBoss Enterprise Application Platform 7 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 7.4.17 版本用于替换 Red Hat JBoss Enterprise Application Platform 7.4.16，并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 7.4.17 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

    安全修复：

    * cxf-core：使用 Aegis 数据绑定 [eap-7.4.z] 的 Apache CXF SSRF 漏洞 (CVE-2024-28752)

    * eap: JBoss EAP：wildfly-elytron 有 SSRF 安全问题 [eap-7.4.z] (CVE-2024-1233)

    * datatables.net：HTML 转义实体函数未转义数组内容 [eap-7.4.z] (CVE-2021-23445)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2024:3566 公告中提及的漏洞的影响。

    Red Hat Single Sign-On 7.6 是基于 Keycloak 项目的独立服务器，其为 Web 和移动应用程序提供基于身份验证和标准的单点登录功能。

    此 RHEL 7 上的 Red Hat Single Sign-On 7.6.9 版本可替换 Red Hat Single Sign-On 7.6.8，并包含缺陷修复和增强功能，详情请参阅“参考”部分中链接的版本说明文档。

    安全修复：

    * 推送授权请求 (PAR) KC_RESTART Cookie 中的敏感信息暴露（CVE-2024-4540）

    有关此安全问题的详细信息，包括其影响、CVSS 分数和其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2024:3545 公告中提及的多个漏洞影响。

    Node.js 是个软件开发平台，可使用 JavaScript 编程语言构建快速且可扩展的网络应用程序。

    安全修复：

    * nodejs：因内容长度混淆引起的 HTTP 请求走私问题 (CVE-2024-27982)

    * nodejs：CONTINUATION 框架 DoS (CVE-2024-27983)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:3546 公告中提及的多个漏洞的影响。

    Ruby 是一种可扩展的直译式面向对象的脚本语言。它具有处理文本文件和执行系统管理任务的功能。

    安全修复：

    * ruby：RDoc 中的 .rdoc_options 存在 RCE 漏洞 (CVE-2024-27281)
    * ruby：StringIO 中的缓冲区越界读取漏洞 (CVE-2024-27280)
    * ruby：正则表达式搜索引起的任意内存地址读取漏洞 (CVE-2024-27282)

    如需有关此发行版本的详细变更信息，请参阅可从“参考”部分链接的 Red Hat Enterprise Linux 8.10 版本说明。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:2010 公告中提及的多个漏洞的影响。

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

    安全修复：
    * python-pygments：pygments 中的 ReDoS (CVE-2022-40896)
    * python-pycryptodomex：PyCryptodome 和 pycryptodomex 中 OAEP 解密的边信道泄漏 (CVE-2023-52323)
    * satellite：satellite 中的算术溢出 (CVE-2023-4320)
    * automation-hub: Ansible Automation Hub：不安全的 galaxy-importer tarfile 提取 (CVE-2023-5189)
    * jetty：向 CgiServlet 中的用户输入添加不正确的引号 (CVE-2023-36479)
    * python-aiohttp：通过 llhttp HTTP 请求解析器触发的 HTTP 请求走私漏洞 (CVE-2023-37276)
    * rubygem-activesupport：本地加密文件的文件泄露 (CVE-2023-38037)
    * jetty：不当验证 HTTP/1 content-length (CVE-2023-40167)
    * python-django：`django.utils.encoding.uri_to_iri()` 中潜在的拒绝服务漏洞 (CVE-2023-41164)
    * python-django：django.utils.text.Truncator 中可能存在的拒绝服务漏洞 (CVE-2023-43665)
    * python-aiohttp：HTTP 解析器中的多个标头解析问题 (CVE-2023-47627)
    * python-aiohttp：HTTP 请求修改 (CVE-2023-49081)
    * python-aiohttp：如果用户控制使用 aiohttp 客户端的 HTTP 方法，则发生 CRLF 注入 (CVE-2023-49082)
    * rubygem-puma：解析分块传输编码正文时，HTTP 请求走私 (CVE-2024-21647)
    * rubygem-audited：争用条件可导致审核日志被错误地归因于错误的用户 (CVE-2024-22047)
    * python-jinja2：将用户输入作为密钥传递至 xmlattr 过滤器时发生 HTML 属性注入 (CVE-2024-22195)
    * python-aiohttp：Follow_symlinks 目录遍历漏洞 (CVE-2024-23334)
    * python-aiohttp：HTTP 请求走私 (CVE-2024-23829)

    其他变更：
    此更新还修复了多个缺陷并添加了多项增强功能。

    “参考”部分链接的版本说明文档中提供这些更改的文档。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:3553 公告中提及的漏洞的影响。

    Node.js 是个软件开发平台，可使用 JavaScript 编程语言构建快速且可扩展的网络应用程序。

    安全修复：

    * nodejs/16：CONTINUATION 框架 DoS (CVE-2024-27983)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:3552 公告中提及的一个漏洞影响。

    安全修复：

    * python-idna：潜在 DoS，因 idna.encode() 受到特别构建的输入攻击造成的资源消耗问题引起 (CVE-2024-3651)

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

插件已因逻辑变更而被弃用。新插件中将会提供覆盖范围。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:3529 公告中提及的多个漏洞的影响。

    内核程序包中包含 Linux 内核，后者是任何 Linux 操作系统的核心。

    安全修复：

    * 内核：nf_tables：nft_verdict_init() 函数中存在释放后使用漏洞 (CVE-2024-1086)

    * 内核：net：bridge：br_handle_frame_finish() 中的 data-races 包含数据争用问题 (CVE-2023-52578)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:3528 公告中提及的多个漏洞的影响。

    内核程序包中包含 Linux 内核，后者是任何 Linux 操作系统的核心。

    安全修复：

    * kernel：can_rcv_filter 中存在空指针取消引用漏洞 (CVE-2023-2166)

    * kernel：compare_netdev_and_ip 中发生 Slab 越界读取 (CVE-2023-2176)

    * 内核：nf_tables：nft_verdict_init() 函数中存在释放后使用漏洞 (CVE-2024-1086)

    * 内核：net：bridge：br_handle_frame_finish() 中的 data-races 包含数据争用问题 (CVE-2023-52578)

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:3530 公告中提及的多个漏洞的影响。

    kernel-rt 程序包提供 Real Time Linux Kernel，支持对具有极高确定性要求的系统进行微调。

    安全修复：

    * 内核：nf_tables：nft_verdict_init() 函数中存在释放后使用漏洞 (CVE-2024-1086)

    * 内核：net：bridge：br_handle_frame_finish() 中的 data-races 包含数据争用问题 (CVE-2023-52578)

    错误修复：

    * kernel-rt：将 RT 源树更新到最新的 RHEL-8.4.z Batch 25 (JIRA:RHEL-36724) 

    * [RHEL-8.4] kernel-rt-debug：缺陷：从 kernel/locking/rtmutex.c:968 的无效上下文调用休眠函数 (JIRA:RHEL-8758)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	严重性
200250	RHEL 9：ipa (RHSA-2024:3760)	high
200249	RHEL 8：idm：DL1 (RHSA-2024:3759)	high
200248	RHEL 9：ipa (RHSA-2024:3761)	high
200247	RHEL 8：nghttp2 (RHSA-2024:3763)	medium
200246	RHEL 8：idm：DL1 (RHSA-2024:3755)	high
200243	RHEL 7：bind、bind-dyndb-ldap 和 dhcp (RHSA-2024:3741)	high
200168	RHEL 9：ruby：3.3 (RHSA-2024:3671)	critical
200167	RHEL 8：nghttp2 (RHSA-2024:3701)	medium
200166	RHEL 8 : java-1.8.0-ibm (RHSA-2024:3685)	high
200155	RHEL 8：ruby：3.3 (RHSA-2024:3670)	critical
200154	RHEL 8：booth (RHSA-2024:3659)	medium
200153	RHEL 8：cockpit (RHSA-2024:3667)	high
200152	RHEL 7：less (RHSA-2024:3669)	high
200151	RHEL 9：nghttp2 (RHSA-2024:3665)	medium
200150	RHEL 9：booth (RHSA-2024:3661)	medium
200149	RHEL 8：booth (RHSA-2024:3657)	medium
200148	RHEL 8：tomcat (RHSA-2024:3666)	medium
200147	RHEL 8：booth (RHSA-2024:3658)	medium
200146	RHEL 9：booth (RHSA-2024:3660)	medium
200145	RHEL 9：ruby：3.1 (RHSA-2024:3668)	critical
200122	RHEL 8/9：OpenShift Container Platform 4.13.43 (RHSA-2024:3496)	high
200121	RHEL 9：libxml2 (RHSA-2024:3625)	high
200120	RHEL 8：Red Hat Product OCP Tools 4.12 Openshift Jenkins (RHSA-2024:3635)	critical
200119	RHEL 8：libxml2 (RHSA-2024:3626)	high
200118	RHEL 8：Red Hat Product OCP Tools 4.13 OpenShift Jenkins (RHSA-2024:3636)	critical
200117	RHEL 8：Red Hat Product OCP Tools 4.14 Openshift Jenkins (RHSA-2024:3634)	critical
200116	RHEL 8：kernel-rt (RHSA-2024:3627)	high
200106	RHEL 8：内核更新（中危）(RHSA-2024:3618)	high
200105	RHEL 9：内核 (RHSA-2024:3619)	medium
200098	RHEL 9：Red Hat JBoss Enterprise Application Platform 8.0.2 安全更新（中危）(RHSA-2024:3581)	high
200097	RHEL 7：389-ds-base (RHSA-2024:3591)	high
200096	RHEL 8：Red Hat JBoss Enterprise Application Platform 8.0.2 安全更新（中危）(RHSA-2024:3580)	high
200095	RHEL 7：glibc (RHSA-2024:3588)	high
200070	RHEL 8：python-idna (RHSA-2024:3543)	high
200069	RHEL 9：nodejs:18 (RHSA-2024:3544)	high
200068	RHEL 8：RHEL 8 上的 Red Hat Single Sign-On 7.6.9 安全更新（低危）(RHSA-2024:3567)	high
200067	RHEL 9：RHEL 9 上的 Red Hat Single Sign-On 7.6.9 安全更新（低危）(RHSA-2024:3568)	high
200066	RHEL 7：Red Hat JBoss Enterprise Application Platform 7.4.17 安全更新（重要）(RHSA-2024:3559)	medium
200065	RHEL 9：Red Hat JBoss Enterprise Application Platform 7.4.17 安全更新（重要）(RHSA-2024:3561)	medium
200064	RHEL 8：Red Hat JBoss Enterprise Application Platform 7.4.17 安全更新（重要）(RHSA-2024:3560)	medium
200063	RHEL 7：RHEL 7 上的 Red Hat Single Sign-On 7.6.9 安全更新（低危）(RHSA-2024:3566)	high
200062	RHEL 9：nodejs (RHSA-2024:3545)	high
200061	RHEL 8：ruby:3.1 (RHSA-2024:3546)	critical
199805	RHEL 8：Satellite 6.15.0（重要）(RHSA-2024:2010)	high
199251	RHEL 8：nodejs：(RHSA-2024:3553)	high
199250	RHEL 8：python-idna (RHSA-2024:3552)	high
198578	RHEL 6 : libidn (未修补的漏洞) (已弃用)	critical
198298	RHEL 8：内核 (RHSA-2024:3529)	high
198297	RHEL 8：内核 (RHSA-2024:3528)	high
198296	RHEL 8：kernel-rt (RHSA-2024:3530)	high

检测

Nessus 的 Red Hat Local Security Checks 系列

high

high

high

medium

high

high

critical

medium

high

critical

medium

high

high

medium

medium

medium

medium

medium

medium

critical

high

high

critical

high

critical

critical

high

high

medium

high

high

high

high

high

high

high

high

medium

medium

medium

high

high

critical

high

high

high

critical

high

high

high