リモートのDebian 9ホストには、dla-2764のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

  - Apache Tomcat 8.5.0～8.5.63、9.0.0-M1～9.0.43および10.0.0-M1～10.0.2は、着信TLSパケットを適切に検証しませんでした。TomcatがTLSに対してNIO + OpenSSLまたはNIO2 + OpenSSLを使用するように構成されている場合、特別に細工されたパケットが使用されて無限ループがトリガーされ、サービス拒否が発生する可能性があります。
    （CVE-2021-41079）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートホストにインストールされている Tomcat のバージョンは 8.5.64より前です。したがって、fixed_in_apache_tomcat_8.5.64_security-8 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Apache Tomcat 8.5.0～8.5.63、9.0.0-M1～9.0.43 および 10.0.0-M1～10.0.2 は、着信 TLS パケットを適切に検証しませんでした。Tomcat が TLS に対して NIO + OpenSSL または NIO2 + OpenSSL を使用するように設定されている場合、特別に細工されたパケットが使用されて無限ループがトリガーされ、サービス拒否が発生する可能性があります。
    (CVE-2021-41079)

  - Apache Tomcat での、機密情報を含むエラーメッセージの生成の脆弱性。この問題は、Apache Tomcat の 8.5.7 から 8.5.63、9.0.0-M11 から 9.0.43 のバージョンに影響します。この問題の修正が含まれている、バージョン 8.5.64 以降または 9.0.44 以降にアップグレードすることが推奨されます。(CVE-2024-21733)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

远程 Debian 10/11 主机上安装的多个程序包受到 dsa-4986 公告中提及的多个漏洞影响。

  - Apache Tomcat JNDI Realm 中的漏洞允许攻击者使用有效用户名的变体进行认证和/或绕过 LockOut Realm 提供的某些保护。此问题影响 Apache Tomcat 10.0.0-M1 至 10.0.5；9.0.0.M1 至 9.0.45；8.5.0 至 8.5.65。(CVE-2021-30640)

  - Apache Tomcat 8.5.0 到 8.5.63、9.0.0-M1 到 9.0.43 和 10.0.0-M1 到 10.0.2 未正确验证传入的 TLS 数据包。当 Tomcat 配置为对 TLS 使用 NIO+OpenSSL 或 NIO2+OpenSSL 时，可以使用特别构建的数据包来触发无限循环，从而导致拒绝服务。
    (CVE-2021-41079)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 / 8 主机上安装的程序包受到 RHSA-2021: 3741 公告中提及的漏洞的影响。

  - tomcat：使用 OpenSSL JSSE 引擎读取非预期 TLS 数据包时发生无限循环 (CVE-2021-41079)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 tomcat8 版本低于 8.5.69-1.88。因此，该软件受到 ALAS-2021-1547 公告中提及的多个漏洞影响。

    Apache Tomcat 10.0.0-M1 至 10.0.6、9.0.0.M1 至 9.0.46 和 8.5.0 至 8.5.66 在某些情况下未正确解析 HTTP 传输编码请求标头，导致可能在与反向代理一起使用时触发请求走私攻击。特别地：- 如果客户端声明只接受 HTTP/1.0 响应，Tomcat 会错误地忽略传输编码标头；- Tomcat 遵从身份编码；
    以及 - Tomcat 未确保分块编码（如果存在）是最终编码。
    (CVE-2021-33037)

    在 Apache Tomcat 中发现一个缺陷。将 Tomcat 配置为针对 TLS 使用 NIO+OpenSSL 或 NIO2+OpenSSL 时，特制的数据包可能触发无限循环，进而导致拒绝服务。此漏洞最大的威胁在于系统可用性。(CVE-2021-41079)

    Apache Tomcat 中存在包含敏感信息的错误消息的生成。此问题影响 Apache Tomcat： 8.5.7 至 8.5.63、 9.0.0-M11 至 9.0.43。

    建议用户升级到 8.5.64 以上或 9.0.44 以上版本，即可修复该问题。(CVE-2024-21733)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 IBM Engineering Requirements Management DOORS（以前称为 IBM Rational DOORS）版本是 9.7.2.x 之前的 9.7.2.8。因此，它受到 7124058 公告中提及的多个漏洞影响。

  - 1.9.1 之前的 Apache Shiro，在某些 servlet 容器上可能会错误配置 RegexRequestMatcher 以绕过它。在正则表达式中使用带有“.”的 RegExPatternMatcher 的应用程序可能容易受到授权绕过的影响。(CVE-2022-32532)

  - Java OpenWire 协议编组器容易受到远程代码执行的攻击。利用该漏洞，可以通过网络访问 Java 型 OpenWire 代理或客户端的远程攻击者可以通过操纵 OpenWire 协议中的序列化类类型来运行任意 shell 命令，从而导致客户端或代理（分别）实例化类路径上的任何类。建议用户升级到修复了此问题的代理和客户端（版本 5.15.16、5.16.7、5.17.6、5.18.3）。
    (CVE-2023-46604)

  - 2.13.9 之前的 Scala 2.13.x 在其 JAR 文件中存在 Java 反序列化链。它本身无法被利用。只有与应用程序内的 Java 对象反序列化结合使用时才会存在风险。在此类情况下，它会允许攻击者通过小工具链擦除任意文件的内容、建立网络连接或可能运行任意代码（特别是 Function0 函数）。(CVE-2022-36944)

  - IBM Engineering Requirements Management DOORS 9.7.2.7 是一个跨站请求漏洞，该漏洞允许攻击者执行从网站信任用户传输的恶意和未经授权的操作。IBM X-Force ID：251216。(CVE-2023-28949)

  4.14 之前的 CKEditor 4.0 的 HTML 数据处理器中存在跨站脚本 (XSS) 漏洞，该漏洞会允许远程攻击者通过构建的受保护注释 （带有 cke_protected 语法）注入任意 web 脚本。(CVE-2020-9281)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

リモートのDebian 10/11ホストには、dsa-4986のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - Apache TomcatのJNDIレルムの脆弱性により、攻撃者が、有効なユーザー名のさまざまなバリエーションを使用して認証したり、LockOutレルムによって提供される保護の一部をバイパスしたりする可能性があります。この問題は、Apache Tomcat 10.0.0-M1〜10.0.5、9.0.0.M1～9.0.45、8.5.0～8.5.65に影響を与えます。（CVE-2021-30640）

  - Apache Tomcat 8.5.0～8.5.63、9.0.0-M1～9.0.43および10.0.0-M1～10.0.2は、着信TLSパケットを適切に検証しませんでした。TomcatがTLSに対してNIO + OpenSSLまたはNIO2 + OpenSSLを使用するように構成されている場合、特別に細工されたパケットが使用されて無限ループがトリガーされ、サービス拒否が発生する可能性があります。
    (CVE-2021-41079)

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの SUSE Linux SLES15 / SLES_SAP15 ホストには、SUSE-SU-2021:3669-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - Apache TomcatのJNDIレルムの脆弱性により、攻撃者が、有効なユーザー名のさまざまなバリエーションを使用して認証したり、LockOutレルムによって提供される保護の一部をバイパスしたりする可能性があります。この問題は、Apache Tomcat 10.0.0-M1〜10.0.5、9.0.0.M1～9.0.45、8.5.0～8.5.65 に影響を与えます。(CVE-2021-30640)

  - Apache Tomcat 10.0.0-M1～10.0.6、9.0.0.M1～9.0.46、および8.5.0～8.5.66が、一部の状況でHTTP転送エンコーディングリクエストヘッダーを正しく解析しませんでした。これにより、リバースプロキシで使用したときにスマグリングがリクエストされる可能性があります。詳細：- クライアントがHTTP/1.0応答のみを受け入れると宣言した場合、Tomcatは転送エンコーディングヘッダーを誤って無視しました。- Tomcatは識別エンコーディングを尊重していました。
    - Tomcatは、チャンクエンコーディングがある場合に、それが最終エンコーディングであることを保証していませんでした。
    (CVE-2021-33037)

  - Apache Tomcat 8.5.0～8.5.63、9.0.0-M1～9.0.43および10.0.0-M1～10.0.2は、着信TLSパケットを適切に検証しませんでした。TomcatがTLSに対してNIO + OpenSSLまたはNIO2 + OpenSSLを使用するように構成されている場合、特別に細工されたパケットが使用されて無限ループがトリガーされ、サービス拒否が発生する可能性があります。
    (CVE-2021-41079)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのRedhat Enterprise Linux 7/8ホストにインストールされているパッケージには、RHSA-2021：3741のアドバイザリに記載されている脆弱性の影響を受けます。

  - tomcat：OpenSSL JSSEエンジン使用時の予期しないTLSパケットの読み取り中の無限ループ（CVE-2021-41079）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートホストにインストールされている IBM Engineering Requirements Management DOORS (旧 IBM Rational DOORS) のバージョンは、9.7.2.8 より前の 9.7.2.x です。したがって、7124058 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - 1.9.1 より前の Apache Shiro、RegexRequestMatcher が誤って構成され、一部のサーブレットコンテナでバイパスされる可能性があります。正規表現で「.」を持つ RegExPatternMatcher を使用するアプリケーションは、認証バイパスに対して脆弱である可能性があります。(CVE-2022-32532)

  - Java OpenWire プロトコルマーシャラーは、リモートコード実行の脆弱性があります。この脆弱性により、Java ベースの OpenWire ブローカーまたはクライアントにネットワークアクセス権があるリモートの攻撃者が、OpenWire プロトコルのシリアル化されたクラスタイプを操作してクライアントまたはブローカーに (それぞれ) クラスパス上の任意のクラスをインスタンス化させることで、任意のシェルコマンドを実行する可能性があります。ユーザーには、ブローカーとクライアントの両方を、この問題を修正したバージョンであるバージョン 5.15.16、5.16.7、5.17.6、または 5.18.3 にアップグレードすることをお勧めします。
    (CVE-2023-46604)

  - 2.13.9 の前の Scala 2.13.x は、JAR ファイルに Java 逆シリアル化チェーンがあります。単独では悪用できません。アプリケーション内の Java オブジェクト逆シリアル化に関連するリスクのみがあります。このような状況では、攻撃者がガジェットチェーンを介して、任意のファイルのコンテンツを消去したり、ネットワーク接続を行ったり、任意のコード (特に、Function0 関数) を実行したりする可能性があります。(CVE-2022-36944)

  - IBM Engineering Requirements Management DOORS 9.7.2.7 は、クロスサイトリクエスト偽造に対して脆弱です。これにより、攻撃者が、Web サイトが信頼するユーザーから送信された悪意のある認証されていないアクションを実行する可能性があります。IBM X-Force ID: 251216. (CVE-2023-28949)

  - CKEditor 4.14 以前の 4.0 の HTML Data Processor のクロスサイトスクリプティング (XSS ) の脆弱性により、リモートの攻撃者が、細工された保護されたコメント (cke_protected 構文を使用 ) を使用して任意の Web スクリプトを挿入する可能性があります。(CVE-2020-9281)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストにインストールされている tomcat8 のバージョンは 8.5.69-1.88 以前のです。したがって、ALAS-2021-1547 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

    Apache Tomcat 10.0.0-M1～10.0.6、9.0.0.M1～9.0.46、および 8.5.0～8.5.66 が、一部の状況で HTTP 転送エンコーディングリクエストヘッダーを正しく解析しませんでした。これにより、リバースプロキシで使用したときにスマグリングがリクエストされる可能性があります。詳細: - クライアントが HTTP/1.0 応答のみを受け入れると宣言した場合、Tomcat は転送エンコーディングヘッダーを誤って無視しました。- Tomcat は識別エンコーディングを尊重していました。
    - Tomcat は、チャンクエンコーディングがある場合に、それが最終エンコーディングであることを保証していませんでした。
    (CVE-2021-33037)

    Apache Tomcatに欠陥が見つかりました。Tomcat が TLS に NIO+OpenSSL または NIO2+OpenSSL を使用するように構成されている場合、特別に細工されたパケットが無限ループを引き起こし、サービス拒否を引き起こす可能性があります。この脆弱性が最大の脅威となるのは、システムの可用性です。(CVE-2021-41079)

    Apache Tomcat における、機密情報を含むエラーメッセージの生成の脆弱性。この問題は、Apache Tomcat に影響を与えます： 8.5.7 ～ 8.5.63、～ 9.0.0～M11 ～ 9.0.43。

    この問題の修正が含まれている、バージョン 8.5.64 以降または 9.0.44 以降にアップグレードすることが推奨されます。(CVE-2024-21733)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

The version of Apache Tomcat installed on the remote host is < 9.0.44. It is, therefore, affected by a vulnerability as referenced in the fixed_in_apache_tomcat_9.0.44_security-9 advisory. Note that Nessus Network Monitor has not tested for this issue but has instead relied only on the application's self-reported version number.

The version of Apache Tomcat installed on the remote host is < 10.0.4. It is, therefore, affected by a vulnerability as referenced in the fixed_in_apache_tomcat_10.0.4_security-10 advisory. Note that Nessus Network Monitor has not tested for this issue but has instead relied only on the application's self-reported version number.

The version of Apache Tomcat installed on the remote host is < 8.5.64. It is, therefore, affected by a vulnerability as referenced in the fixed_in_apache_tomcat_8.5.64_security-8 advisory. Note that Nessus Network Monitor has not tested for this issue but has instead relied only on the application's self-reported version number.

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
153601	Debian DLA-2764-1：tomcat8 - LTSのセキュリティ更新	Nessus	Debian Local Security Checks	2021/9/24	2022/1/20	high
194472	Apache Tomcat 8.5.0< 8.5.64の複数の脆弱性	Nessus	Web Servers	2024/4/29	2024/5/23	medium
154177	Debian DSA-4986-1：tomcat9 - 安全更新	Nessus	Debian Local Security Checks	2021/10/15	2021/10/15	medium
153902	RHEL 7 / 8：Red Hat JBoss Web Server 5.5.1 安全更新（重要）(RHSA-2021: 3741)	Nessus	Red Hat Local Security Checks	2021/10/7	2024/11/7	high
154900	Amazon Linux AMI : tomcat8 (ALAS-2021-1547)	Nessus	Amazon Linux Local Security Checks	2021/11/5	2025/4/11	medium
191754	IBM Engineering Requirements Management DOORS 9.7.2.x < 9.7.2.8 多种漏洞 (7124058)	Nessus	Windows	2024/3/8	2024/3/12	critical
154177	Debian DSA-4986-1：tomcat9 - セキュリティ更新	Nessus	Debian Local Security Checks	2021/10/15	2021/10/15	medium
155462	SUSE SLES15 セキュリティ更新プログラム: tomcat (SUSE-SU-2021:3669-1)	Nessus	SuSE Local Security Checks	2021/11/17	2023/7/13	medium
153902	RHEL 7/8：Red Hat JBoss Webサーバー5.5.1セキュリティ更新（重要度高）（RHSA-2021: 3741)	Nessus	Red Hat Local Security Checks	2021/10/7	2024/11/7	high
191754	IBM Engineering Requirements Management DOORS 9.7.2.x < 9.7.2.8 複数の脆弱性 (7124058)	Nessus	Windows	2024/3/8	2024/3/12	critical
154900	Amazon Linux AMI：tomcat8 (ALAS-2021-1547)	Nessus	Amazon Linux Local Security Checks	2021/11/5	2025/4/11	medium
701365	Apache Tomcat < 9.0.44 Vulnerability	Nessus Network Monitor	Web Servers	2021/9/15	2021/9/15	high
701364	Apache Tomcat < 10.0.4 Vulnerability	Nessus Network Monitor	Web Servers	2021/9/15	2021/9/15	high
701366	Apache Tomcat < 8.5.64 Vulnerability	Nessus Network Monitor	Web Servers	2021/9/15	2021/9/15	high

检测

插件搜索

high

medium

medium

high

medium

critical

medium

medium

high

critical

medium

high

high

high