远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2020: 3638 公告中提及的多个漏洞的影响。

  - hibernate：Hibernate ORM 中的 SQL 注入问题 (CVE-2019-14900)

  - jackson-databind：未正确处理序列化小工具与类型之间的交互，这可能导致远程命令执行（CVE-2020-10672、CVE-2020-10673）

  - dom4j: 默认 SAX 解析器中的 XML 外部实体漏洞 (CVE-2020-10683)

  - Undertow：由于在 HTTP 请求中允许无效字符，导致 CVE-2017-2666 的修复不完整 (CVE-2020-10687)

  - hibernate-validator：插入限制错误消息时未正确验证输入 (CVE-2020-10693)

  - wildfly-elytron：使用 FORM 身份验证时的会话固定 (CVE-2020-10714)

  - wildfly：通过 EmbeddedManagedProcess API 暴露了 TCCL 设置 (CVE-2020-10718)

  - wildfly：Wildfly Enterprise Java Bean 中不安全的反序列化 (CVE-2020-10740)

  - wildfly：某些 EJB 事务对象可能发生累积，从而导致拒绝服务 (CVE-2020-14297)

  - wildfly：收到响应后，系统可能无法正确移除 EJB SessionOpenInvocations，从而导致拒绝服务 (CVE-2020-14307)

  - resteasy：未正确验证 MediaTypeHeaderDelegate.java 类中的响应标头 (CVE-2020-1695)

  - EAP：字段名称未按照 RFC7230 进行解析 (CVE-2020-1710)

  - wildfly：使用替代保护域时，WildFlySecurityManager 中存在不当授权问题 (CVE-2020-1748)

  -  Mojarra：loc 参数或 con 参数导致的路径遍历，CVE-2018-14371 的不完整修复 (CVE-2020-6950)

  - jackson-databind：缺少特定 xbean-reflect/JNDI 阻断 (CVE-2020-8840)

  - jackson-databind：shaded-hikari-config 中的序列化小工具 (CVE-2020-9546)

  - jackson-databind：ibatis-sqlmap 中的序列化小工具 (CVE-2020-9547)

  - jackson-databind：anteros-core 中的序列化小工具 (CVE-2020-9548)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2020: 3637 公告中提及的多个漏洞的影响。

  - hibernate：Hibernate ORM 中的 SQL 注入问题 (CVE-2019-14900)

  - jackson-databind：未正确处理序列化小工具与类型之间的交互，这可能导致远程命令执行（CVE-2020-10672、CVE-2020-10673）

  - dom4j: 默认 SAX 解析器中的 XML 外部实体漏洞 (CVE-2020-10683)

  - Undertow：由于在 HTTP 请求中允许无效字符，导致 CVE-2017-2666 的修复不完整 (CVE-2020-10687)

  - hibernate-validator：插入限制错误消息时未正确验证输入 (CVE-2020-10693)

  - wildfly-elytron：使用 FORM 身份验证时的会话固定 (CVE-2020-10714)

  - wildfly：通过 EmbeddedManagedProcess API 暴露了 TCCL 设置 (CVE-2020-10718)

  - wildfly：Wildfly Enterprise Java Bean 中不安全的反序列化 (CVE-2020-10740)

  - wildfly：某些 EJB 事务对象可能发生累积，从而导致拒绝服务 (CVE-2020-14297)

  - wildfly：收到响应后，系统可能无法正确移除 EJB SessionOpenInvocations，从而导致拒绝服务 (CVE-2020-14307)

  - resteasy：未正确验证 MediaTypeHeaderDelegate.java 类中的响应标头 (CVE-2020-1695)

  - EAP：字段名称未按照 RFC7230 进行解析 (CVE-2020-1710)

  - wildfly：使用替代保护域时，WildFlySecurityManager 中存在不当授权问题 (CVE-2020-1748)

  -  Mojarra：loc 参数或 con 参数导致的路径遍历，CVE-2018-14371 的不完整修复 (CVE-2020-6950)

  - jackson-databind：缺少特定 xbean-reflect/JNDI 阻断 (CVE-2020-8840)

  - jackson-databind：shaded-hikari-config 中的序列化小工具 (CVE-2020-9546)

  - jackson-databind：ibatis-sqlmap 中的序列化小工具 (CVE-2020-9547)

  - jackson-databind：anteros-core 中的序列化小工具 (CVE-2020-9548)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

已針對 jackson-databind 報告下列 CVE。

CVE-2020-10672

FasterXML jackson-databind 2.9.10.4 之前的 2.x 版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory (即 aries.transaction.jms) 相關。

CVE-2020-10673

FasterXML jackson-databind 2.9.10.4 之前的2.x 版本會錯誤處理序列化小工具與輸入之間的互動，此問題與 com.caucho.config.types.ResourceRef (即 caucho-quercus) 相關。

針對 Debian 8「Jessie」，已在 2.4.2-2+deb8u13 版本中修正這些問題。

建議您升級 jackson-databind 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

遠端 Redhat Enterprise Linux 6 主機上安裝的套件受到 RHSA-2020: 3461 公告中提及的多個弱點影響。

  - hibernate：Hibernate ORM 中的 SQL 注入攻擊問題 (CVE-2019-14900)

  - jackson-databind：未正確處理序列化小工具與類型之間的互動，可能導致遠端命令執行 (CVE-2020-10672、CVE-2020-10673)

  - dom4j：預設 SAX 剖析器中的 XML 外部實體弱點 (CVE-2020-10683)

  - Undertow：由於允許 HTTP 要求中存在無效字元，導致未能完整修復 CVE-2017-2666 (CVE-2020-10687)

  - hibernate-validator：插入限制錯誤訊息時未正確驗證輸入 (CVE-2020-10693)

  - wildfly-elytron：使用 FORM 驗證時的工作階段固定 (CVE-2020-10714)

  - wildfly：透過 EmbeddedManagedProcess API 洩漏了 TCCL 設定 (CVE-2020-10718)

  - wildfly：Wildfly Enterprise Java Beans 中存在不安全的還原序列化 (CVE-2020-10740)

  - netty：壓縮/解壓縮轉碼器未強制執行緩衝區配置大小限制 (CVE-2020-11612)

  - wildfly：某些 EJB 交易物件可能累積，從而造成拒絕服務 (CVE-2020-14297)

  - wildfly：收到回應後，可能無法正確移除 EJB SessionOpenInvocations，進而造成拒絕服務 (CVE-2020-14307)

  - EAP：未依照 RFC7230 剖析欄位名稱 (CVE-2020-1710)

  - wildfly：使用替代保護網域時，WildFlySecurityManager 中存在不當授權問題 (CVE-2020-1748)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 CentOS Linux 8 主機上安裝的套件受到 CESA-2020: 1644 公告中提及的多個弱點影響。

  - jackson-databind：com.zaxxer.hikari.HikariConfig 中的序列化小工具 (CVE-2019-14540)

  - jackson-databind：com.zaxxer.hikari.HikariDataSource 中的序列化小工具 (CVE-2019-16335)

  - jackson-databind：org.apache.commons.dbcp.datasources 中的序列化小工具。* (CVE-2019-16942)

  - jackson-databind：com.p6spy.engine.spy.P6DataSource 中的序列化小工具 (CVE-2019-16943)

  - jackson-databind：org.apache.log4j.receivers.db 中的序列化小工具。* (CVE-2019-17531)

  - jackson-databind：缺少某些 net.sf.ehcache 封鎖 (CVE-2019-20330)

  - jackson-databind：未正確處理序列化小工具與類型之間的互動，可能導致遠端命令執行 (CVE-2020-10672、CVE-2020-10673)

  - jackson-databind：缺少某個 xbean-reflect/JNDI 封鎖 (CVE-2020-8840)

  - jackson-databind：shaded-hikari-config 中的序列化小工具 (CVE-2020-9546)

  - jackson-databind：ibatis-sqlmap 中的序列化小工具 (CVE-2020-9547)

  - jackson-databind：anteros-core 中的序列化小工具 (CVE-2020-9548)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 7 主機上安裝的套件受到 RHSA-2020: 3638 公告中提及的多個弱點影響。

  - hibernate：Hibernate ORM 中的 SQL 注入攻擊問題 (CVE-2019-14900)

  - jackson-databind：未正確處理序列化小工具與類型之間的互動，可能導致遠端命令執行 (CVE-2020-10672、CVE-2020-10673)

  - dom4j：預設 SAX 剖析器中的 XML 外部實體弱點 (CVE-2020-10683)

  - Undertow：由於允許 HTTP 要求中存在無效字元，導致未能完整修復 CVE-2017-2666 (CVE-2020-10687)

  - hibernate-validator：插入限制錯誤訊息時未正確驗證輸入 (CVE-2020-10693)

  - wildfly-elytron：使用 FORM 驗證時的工作階段固定 (CVE-2020-10714)

  - wildfly：透過 EmbeddedManagedProcess API 洩漏了 TCCL 設定 (CVE-2020-10718)

  - wildfly：Wildfly Enterprise Java Beans 中存在不安全的還原序列化 (CVE-2020-10740)

  - wildfly：某些 EJB 交易物件可能累積，從而造成拒絕服務 (CVE-2020-14297)

  - wildfly：收到回應後，可能無法正確移除 EJB SessionOpenInvocations，進而造成拒絕服務 (CVE-2020-14307)

  - resteasy：未正確驗證 MediaTypeHeaderDelegate.java 類別中的回應標頭 (CVE-2020-1695)

  - EAP：未依照 RFC7230 剖析欄位名稱 (CVE-2020-1710)

  - wildfly：使用替代保護網域時，WildFlySecurityManager 中存在不當授權問題 (CVE-2020-1748)

  - Mojarra：loc 或 con 參數導致的路徑遊走，CVE-2018-14371 的不完整修復 (CVE-2020-6950)

  - jackson-databind：缺少某個 xbean-reflect/JNDI 封鎖 (CVE-2020-8840)

  - jackson-databind：shaded-hikari-config 中的序列化小工具 (CVE-2020-9546)

  - jackson-databind：ibatis-sqlmap 中的序列化小工具 (CVE-2020-9547)

  - jackson-databind：anteros-core 中的序列化小工具 (CVE-2020-9548)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 6 主機上安裝的套件受到 RHSA-2020: 3637 公告中提及的多個弱點影響。

  - hibernate：Hibernate ORM 中的 SQL 注入攻擊問題 (CVE-2019-14900)

  - jackson-databind：未正確處理序列化小工具與類型之間的互動，可能導致遠端命令執行 (CVE-2020-10672、CVE-2020-10673)

  - dom4j：預設 SAX 剖析器中的 XML 外部實體弱點 (CVE-2020-10683)

  - Undertow：由於允許 HTTP 要求中存在無效字元，導致未能完整修復 CVE-2017-2666 (CVE-2020-10687)

  - hibernate-validator：插入限制錯誤訊息時未正確驗證輸入 (CVE-2020-10693)

  - wildfly-elytron：使用 FORM 驗證時的工作階段固定 (CVE-2020-10714)

  - wildfly：透過 EmbeddedManagedProcess API 洩漏了 TCCL 設定 (CVE-2020-10718)

  - wildfly：Wildfly Enterprise Java Beans 中存在不安全的還原序列化 (CVE-2020-10740)

  - wildfly：某些 EJB 交易物件可能累積，從而造成拒絕服務 (CVE-2020-14297)

  - wildfly：收到回應後，可能無法正確移除 EJB SessionOpenInvocations，進而造成拒絕服務 (CVE-2020-14307)

  - resteasy：未正確驗證 MediaTypeHeaderDelegate.java 類別中的回應標頭 (CVE-2020-1695)

  - EAP：未依照 RFC7230 剖析欄位名稱 (CVE-2020-1710)

  - wildfly：使用替代保護網域時，WildFlySecurityManager 中存在不當授權問題 (CVE-2020-1748)

  - Mojarra：loc 或 con 參數導致的路徑遊走，CVE-2018-14371 的不完整修復 (CVE-2020-6950)

  - jackson-databind：缺少某個 xbean-reflect/JNDI 封鎖 (CVE-2020-8840)

  - jackson-databind：shaded-hikari-config 中的序列化小工具 (CVE-2020-9546)

  - jackson-databind：ibatis-sqlmap 中的序列化小工具 (CVE-2020-9547)

  - jackson-databind：anteros-core 中的序列化小工具 (CVE-2020-9548)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
140390	RHEL 7：RHEL 7 上的 Red Hat JBoss Enterprise Application Platform 7.2.9 (RHSA-2020: 3638)	Nessus	Red Hat Local Security Checks	2020/9/8	2024/11/7	critical
140397	RHEL 6：RHEL 6 上的 Red Hat JBoss Enterprise Application Platform 7.2.9 (RHSA-2020: 3637)	Nessus	Red Hat Local Security Checks	2020/9/8	2024/11/7	critical
134770	Debian DLA-2153-1：jackson-databind 安全性更新	Nessus	Debian Local Security Checks	2020/3/23	2024/3/21	high
139618	RHEL 6：Red Hat JBoss Enterprise Application Platform 7.3.2 (RHSA-2020: 3461)	Nessus	Red Hat Local Security Checks	2020/8/17	2024/11/7	critical
146039	CentOS 8：pki-core：10.6 和 pki-deps：10.6 (CESA-2020: 1644)	Nessus	CentOS Local Security Checks	2021/2/1	2024/1/24	critical
140390	RHEL 7：RHEL 7 上的 Red Hat JBoss Enterprise Application Platform 7.2.9 (RHSA-2020: 3638)	Nessus	Red Hat Local Security Checks	2020/9/8	2024/11/7	critical
140397	RHEL 6：RHEL 6 上的 Red Hat JBoss Enterprise Application Platform 7.2.9 (RHSA-2020: 3637)	Nessus	Red Hat Local Security Checks	2020/9/8	2024/11/7	critical

检测

插件搜索

critical

critical

high

critical

critical

critical

critical