Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 适用于 Go 的 golang.org/x/crypto/ssh 组件 v0.0.0-20201203163018-be400aefbc4c 以及之前的所有版本中存在 nil 指针取消引用问题，允许远程攻击者针对 SSH 服务器发动拒绝服务攻击。(CVE-2020-29652)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程 CentOS Linux 8 主机上安装的程序包受到 CESA-2021: 1796 公告中提及的多个漏洞影响。

  - golang：crypto/ssh：构建的认证请求可导致 nil 指针取消引用 (CVE-2020-29652)

  - podman：到无根容器的远程流量被视为是从本地主机发出 (CVE-2021-20199)

请注意，Nessus 尚未测试此问题，而是只依赖于应用程序自我报告的版本号。

远程 Rocky Linux 8 主机上存在安装的程序包该程序包受到公告 RLSA-2021:1796 中提及的多个漏洞的影响。

  - 适用于 Go 的 golang.org/x/crypto/ssh 组件 v0.0.0-20201203163018-be400aefbc4c 以及之前的所有版本中存在 nil 指针取消引用问题，允许远程攻击者针对 SSH 服务器发动拒绝服务攻击。(CVE-2020-29652)

  - 无根容器与 Podman 一起运行，接收源 IP 地址为 127.0.0.1 的所有流量（包括来自远程主机的流量）。这会影响默认信任 localhost (127.0.01) 连接且不需要认证的容器化应用程序。此问题影响 Podman 1.8.0 以上版本。(CVE-2021-20199)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Oracle Linux 8 主机上安装的程序包受到 ELSA-2021-1796 公告中提及的多个漏洞的影响。

  - 无根容器与 Podman 一起运行，接收源 IP 地址为 127.0.0.1 的所有流量（包括来自远程主机的流量）。这会影响默认信任 localhost (127.0.01) 连接且不需要认证的容器化应用程序。此问题影响 Podman 1.8.0 以上版本。(CVE-2021-20199)

  - 适用于 Go 的 golang.org/x/crypto/ssh 组件 v0.0.0-20201203163018-be400aefbc4c 以及之前的所有版本中存在 nil 指针取消引用问题，允许远程攻击者针对 SSH 服务器发动拒绝服务攻击。(CVE-2020-29652)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。

远程主机上安装的 Splunk 版本低于测试版本。因此，该应用程序受到 SVD-2023-0808 公告中提及的一个漏洞影响。

  - 使用 cgo 时，go 命令可能在构建时执行任意代码。在恶意模块上运行 go get 或运行构建不受信任代码的任何其他命令时，可能会发生这种情况。此问题可由通过 #cgo LDFLAGS 指令指定的链接器标记触发。由于包含嵌入空格的标记处理不当，导致可以通过 LDFLAGS 审查走私禁用的标记，方法则是将这些标记纳入另一个标记的参数中。这会影响 gccgo 编译器的使用。(CVE-2023-29405)

  - 低于 7.84.0 版的 curl 将 cookie、alt-svc 和 hsts 数据保存到本地文件时，会通过将临时名称重命名为最终目标文件名称来完成操作，从而使该操作成为原子型操作。在该重命名操作中，它可能会意外*放宽*对目标文件的权限，使更多用户可访问更新后的文件。(CVE-2022-32207)

  - decode-uri-component 0.2.0 版容易受到不当输入验证的影响，从而导致 DoS。(CVE-2022-38900)

  - Node.js 12.1.0 之前版本的 got 程序包（也已在 11.8.5 中修复）允许重定向到 UNIX 套接字。
    (CVE-2022-33987)

  - 在 webpack loader-utils 中，通过 parseQuery.js 中的名称变量，可在 parseQuery.js 的 parseQuery 函数中造成原型污染漏洞。这会影响 1.4.1 和 2.0.3 之前的所有版本。(CVE-2022-37601)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2021: 1796 公告中提及的多个漏洞影响。

  - golang：crypto/ssh：构建的认证请求可导致 nil 指针取消引用 (CVE-2020-29652)

  - podman：到无根容器的远程流量被视为是从本地主机发出 (CVE-2021-20199)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 golang 版本低于 1.18.3-1。因此，它受到 ALAS2-2022-1830 公告中提及的多个漏洞影响。

  - 适用于 Go 的 golang.org/x/crypto/ssh 组件 v0.0.0-20201203163018-be400aefbc4c 以及之前的所有版本中存在 nil 指针取消引用问题，允许远程攻击者针对 SSH 服务器发动拒绝服务攻击。(CVE-2020-29652)

  - 如果自定义 TokenReader（针对 xml.NewTokenDecoder）在元素中间返回 EOF，则低于 1.15.9 的 Go 和低于 1.16.1 的 1.16.x 中的 encoding/xml 会出现无限循环。此问题会发生在 Decode、DecodeElement 或 Skip 方法中。(CVE-2021-27918)

  - 在 Go 1.16.x 的 1.16.1 之前版本中，archive/zip 允许攻击者在对任何文件名开头出现 ../ 的 ZIP 存档尝试使用 Reader.Open API 时造成程序拒绝服务（发生错误）。(CVE-2021-27919)

  - 在低于 1.15.13 的 Go 版本以及低于 1.16.5 的 1.16.x 版本中，用于 DNS 查找的函数未验证来自 DNS 服务器的回复，因此返回值可能包含不符合 RFC1035 格式的不安全注入（例如 XSS）。(CVE-2021-33195)

  - 在 Go 语言 1.15.13 版本前以及 1.16.5 之前的 1.16.x 版本中，反向代理的部分配置（来自 net/http/httputil）导致攻击者能够终止任意标头。
    (CVE-2021-33197)

  - 在 Go 语言 1.15.13 版本前以及 1.16.5 之前的 1.16.x 版本中，大指数 math/big.Rat SetString 或 UnmarshalText 方法可能会出现错误。 (CVE-2021-33198)

  - 在低于 1.15.15 的 Go 版本和低于 1.16.7 的 1.16.x 版本中存在争用条件，可在 ErrAbortHandler 中止时导致 net/http/httputil ReverseProxy 错误。(CVE-2021-36221)

  - 在 Go 1.16.9 之前版本以及 Go 1.17.x 至 1.17.2 版本中使用 GOARCH=wasm GOOS=js 时，通过大型参数从 WASM 模块调用函数会产生缓冲区溢出问题。(CVE-2021-38297)

  - 在 Go 1.16.8 之前版本和 1.17.x 至 1.17.1 版本中，archive/zip 中的一个构建的 archive 标头（错误地指定存在许多文件）可能会造成 NewReader 或 OpenReader 错误。注意：此问题是因对 CVE-2021-33196 的修复不完整所致。(CVE-2021-39293)

  - Go 1.16.14 之前版本以及 Go 1.17.x 至 1.17.7 版本的 math/big 的 Rat.SetString 中存在溢出漏洞，该漏洞可能导致不受控制的内存消耗问题。(CVE-2022-23772)

  - Go 1.16.14 之前版本和 1.17.x 至 1.17.7 版本中的 cmd/go 可能会错误地将分支名称解读为版本标记。如果执行者能够创建分支但不能创建标签，则这可能导致错误控制访问权限。(CVE-2022-23773)

  - Go 1.16.14 之前版本以及 Go 1.17.x 至 1.17.7 版本的 crypto/elliptic 中的 Curve.IsOnCurve 在 big.Int 值不是有效字段元素的情况下，可能会错误地返回 true。(CVE-2022-23806)

  - 在 Go 1.17.9 之前版本以及 1.18.x 的 1.18.1 之前版本中，encoding/pem 允许通过大量 PEM 数据造成解码堆栈溢出。(CVE-2022-24675)

  - Go 1.16.15 之前版本以及 Go 1.17.x 至 1.17.8 版本中的 regexp.Compile 允许通过深度嵌套的表达式耗尽堆栈。(CVE-2022-24921)

  - 在 Go 1.17.9 之前版本以及 1.18.x 的 1.18.1 之前版本中，crypto/elliptic 的通用 P-256 特征允许通过长标量输入造成错误。(CVE-2022-28327)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
251654	Linux Distros 未修补的漏洞：CVE-2020-29652	Nessus	Misc.	2025/8/18	2025/9/4	high
150033	CentOS 8：container-tools: rhel8 (CESA-2021: 1796)	Nessus	CentOS Local Security Checks	2021/5/28	2023/12/28	medium
184546	Rocky Linux 8 container-tools:rhel8 (RLSA-2021:1796)	Nessus	Rocky Linux Local Security Checks	2023/11/6	2023/12/8	medium
155323	Oracle Linux 8：container-tools: ol8 (ELSA-2021-1796)	Nessus	Oracle Linux Local Security Checks	2021/11/12	2024/11/1	medium
194928	Splunk Enterprise 8.2.0 < 8.2.12、9.0.0 < 9.0.6、9.1.0 < 9.1.1 (SVD-2023-0808)	Nessus	CGI abuses	2024/5/2	2024/7/29	critical
149688	RHEL 8：container-tools: rhel8 (RHSA-2021: 1796)	Nessus	Red Hat Local Security Checks	2021/5/19	2025/3/13	medium
163918	Amazon Linux 2：golang (ALAS-2022-1830)	Nessus	Amazon Linux Local Security Checks	2022/8/8	2024/12/11	critical

检测

插件搜索

high

medium

medium

medium

critical

medium

critical