The remote Fedora 37 host has a package installed that is affected by a vulnerability as referenced in the FEDORA-2023-4926525509 advisory.

    This update takes caddy from 2.5.2 to 2.6.4. The primary purpose is to resolve CVE-2022-41721. This is a     fairly significant upgrade with lots of new features and fixes, but after reviewing the upstream release     notes I believe it should comply with the Fedora updates policy. The upgrade warnings in the release notes     are described as either backwards compatible, marking a directive as deprecated without removing it, or     changes to features that are marked as experimental.

    - https://github.com/caddyserver/caddy/releases/tag/v2.6.0
    - https://github.com/caddyserver/caddy/releases/tag/v2.6.1
    - https://github.com/caddyserver/caddy/releases/tag/v2.6.2
    - https://github.com/caddyserver/caddy/releases/tag/v2.6.3
    - https://github.com/caddyserver/caddy/releases/tag/v2.6.4

Tenable has extracted the preceding description block directly from the Fedora security advisory.

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

リモートの Fedora 37 ホストには、FEDORA-2023-4926525509 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

  - MaxBytesHandler を使用する際に、リクエストスマグリング攻撃が可能です。MaxBytesHandler を使用する際、HTTP リクエストの本文が完全には消費されません。サーバーが接続から HTTP2 フレームを読み取ろうとすると、代わりに HTTP リクエストの本文が読み取られ、攻撃者がこれを操作して任意の HTTP2 リクエストを表す可能性があります。(CVE-2022-41721)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

The remote Fedora 38 host has a package installed that is affected by a vulnerability as referenced in the FEDORA-2023-74e5545901 advisory.

    This update takes caddy from 2.5.2 to 2.6.4.  The primary purpose is to resolve a long standing FTBFS     related to golang 1.20.  The current F38 package is actually a carried-foward F37 build because of that     reason.  It also resolves CVE-2022-41721.  This is a fairly significant upgrade with lots of new features     and fixes, but after reviewing the upstream release notes I believe it should comply with the Fedora     updates policy.  The upgrade warnings in the release notes are described as either backwards compatible,     marking a directive as deprecated without removing it, or changes to features that are marked as     experimental.

    - https://github.com/caddyserver/caddy/releases/tag/v2.6.0
    - https://github.com/caddyserver/caddy/releases/tag/v2.6.1
    - https://github.com/caddyserver/caddy/releases/tag/v2.6.2
    - https://github.com/caddyserver/caddy/releases/tag/v2.6.3
    - https://github.com/caddyserver/caddy/releases/tag/v2.6.4


Tenable has extracted the preceding description block directly from the Fedora security advisory.

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 使用 MaxBytesHandler 时可能发生请求走私攻击。使用 MaxBytesHandler 时，未完全消耗 HTTP 请求的正文。当服务器尝试从连接读取 HTTP2 帧时，反而会读取 HTTP 请求的正文，而请求正文可能会被攻击者操纵为代表任意 HTTP2 请求。(CVE-2022-41721)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

The Linux/Unix host has one or more packages installed that are impacted by a vulnerability without a vendor supplied patch available.

  - A request smuggling attack is possible when using MaxBytesHandler. When using MaxBytesHandler, the body of     an HTTP request is not fully consumed. When the server attempts to read HTTP2 frames from the connection,     it will instead be reading the body of the HTTP request, which could be attacker-manipulated to represent     arbitrary HTTP2 requests. (CVE-2022-41721)

Note that Nessus relies on the presence of the package as reported by the vendor.

The version of FreeBSD installed on the remote host is prior to tested version. It is, therefore, affected by a vulnerability as referenced in the 428922c9-b07e-11ed-8700-5404a68ad561 advisory.

  - A request smuggling attack is possible when using MaxBytesHandler. When using MaxBytesHandler, the body of     an HTTP request is not fully consumed. When the server attempts to read HTTP2 frames from the connection,     it will instead be reading the body of the HTTP request, which could be attacker-manipulated to represent     arbitrary HTTP2 requests. (CVE-2022-41721)

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - 使用 MaxBytesHandler 時攻擊者可發動要求走私攻擊。使用 MaxBytesHandler 時，未完全消耗 HTTP 要求的內文。當伺服器嘗試從連線讀取 HTTP2 框架時，它會讀取 HTTP 要求的內文，攻擊者可藉此操控任意 HTTP2 要求。(CVE-2022-41721)

請注意，Nessus 的判定取決於廠商所報告的套件是否存在。

リモートの Fedora 38 ホストには、FEDORA-2023-74e5545901 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

  - MaxBytesHandler を使用する際に、リクエストスマグリング攻撃が可能です。MaxBytesHandler を使用する際、HTTP リクエストの本文が完全には消費されません。サーバーが接続から HTTP2 フレームを読み取ろうとすると、代わりに HTTP リクエストの本文が読み取られ、攻撃者がこれを操作して任意の HTTP2 リクエストを表す可能性があります。(CVE-2022-41721)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、428922c9-b07e-11ed-8700-5404a68ad561 のアドバイザリに記載されている脆弱性の影響を受けます。

  - MaxBytesHandler を使用する際に、リクエストスマグリング攻撃が可能です。MaxBytesHandler を使用する際、HTTP リクエストの本文が完全には消費されません。サーバーが接続から HTTP2 フレームを読み取ろうとすると、代わりに HTTP リクエストの本文が読み取られ、攻撃者がこれを操作して任意の HTTP2 リクエストを表す可能性があります。(CVE-2022-41721)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - MaxBytesHandler を使用する際に、リクエストスマグリング攻撃が可能です。MaxBytesHandler を使用する際、HTTP リクエストの本文が完全には消費されません。サーバーが接続から HTTP2 フレームを読み取ろうとすると、代わりに HTTP リクエストの本文が読み取られ、攻撃者がこれを操作して任意の HTTP2 リクエストを表す可能性があります。(CVE-2022-41721)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
180204	Fedora 37 : caddy (2023-4926525509)	Nessus	Fedora Local Security Checks	2023/8/27	2024/11/14	high
180204	Fedora 37 : caddy (2023-4926525509)	Nessus	Fedora Local Security Checks	2023/8/27	2024/11/14	high
180201	Fedora 38 : caddy (2023-74e5545901)	Nessus	Fedora Local Security Checks	2023/8/27	2024/11/14	high
224989	Linux Distros 未修补的漏洞：CVE-2022-41721	Nessus	Misc.	2025/3/5	2025/8/20	high
224989	Linux Distros Unpatched Vulnerability : CVE-2022-41721	Nessus	Misc.	2025/3/5	2025/8/20	high
171635	FreeBSD : traefik -- Use of vulnerable Go module x/net/http2 (428922c9-b07e-11ed-8700-5404a68ad561)	Nessus	FreeBSD Local Security Checks	2023/2/19	2023/9/4	high
224989	Linux Distros 未修補的弱點：CVE-2022-41721	Nessus	Misc.	2025/3/5	2025/8/20	high
180201	Fedora 38 : caddy (2023-74e5545901)	Nessus	Fedora Local Security Checks	2023/8/27	2024/11/14	high
171635	FreeBSD: traefik -- 脆弱な Go モジュール x/net/http2 の使用 (428922c9-b07e-11ed-8700-5404a68ad561)	Nessus	FreeBSD Local Security Checks	2023/2/19	2023/9/4	high
224989	Linux Distros のパッチ未適用の脆弱性: CVE-2022-41721	Nessus	Misc.	2025/3/5	2025/8/20	high

检测

插件搜索

high

high

high

high

high

high

high

high

high

high