远程主机上安装的 Enterprise Manager Base Platform 13.5.0.0 版本受到 2024 年 10 月 CPU 公告中提及的多个漏洞影响。

  - Oracle Enterprise Manager 的 Oracle Enterprise Manager Base Platform 产品中存在漏洞（组件：Agent Next Gen (BSAFE Crypto-J)）。支持的版本中受影响的是 13.5.0.0。利用此漏洞的难度较小，未经身份验证的攻击者可通过 HTTP 进行网络访问，从而入侵 Oracle Enterprise Manager Base Platform。成功攻击此漏洞可导致接管 Oracle Enterprise Manager Base Platform。(CVE-2022-34381)

  - Oracle Enterprise Manager 的 Oracle Enterprise Manager Base Platform 产品中存在漏洞（组件：Agent Next Gen (Eclipse Jetty)）。支持的版本中受影响的是 13.5.0.0。利用此漏洞的难度较小，未经身份验证的攻击者可通过 HTTP/2 进行网络访问，从而入侵 Oracle Enterprise Manager Base Platform。成功利用此漏洞进行攻击可导致在未经授权的情况下挂起 Oracle Enterprise Manager Base Platform，或者频繁出现重复崩溃（完整 DOS）。(CVE-2024-22201)

  - Oracle Enterprise Manager 的 Oracle Enterprise Manager Base Platform 产品中存在漏洞（组件：Job System (Netty)）。支持的版本中受影响的是 13.5.0.0。利用此漏洞的难度较小，未经身份验证的攻击者可通过 HTTP 进行网络访问，从而入侵 Oracle Enterprise Manager Base Platform。成功攻击此漏洞可导致在未经授权的情况下造成 Oracle Enterprise Manager Base Platform 部分拒绝服务（部分 DOS）。
    (CVE-2024-29025)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Debian 11 主机上存在安装的程序包该程序包受到 dla-4519 公告中提及的多个漏洞的影响。

    - ------------------------------------------------- ------------------------ Debian LTS 公告 DLA-4519-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Bastien Roucaris 2026 年 3 月 31 日 https://wiki.debian.org/LTS
    - -------------------------------------------------------------------------

    程序包netty 版本 1:4.1.48-4+deb11u3 CVE ID CVE-2024-29025 CVE-2025-55163 CVE-2025-58056 CVE-2025-58057 CVE-2025-59419 CVE-2025-67735 Debian 缺陷1068110 1111105 1113994 1118282 1123606


    在 Java NIO 客户端/服务器套接字框架 Netty 中发现数个安全漏洞。发现 Netty 容易遭受madeYouReset DDoS 攻击这是 HTTP/2 协议本身中的逻辑漏洞和编程错误可启用请求走私攻击。
    此外Netty 中包含一个因不充分的输入验证而导致的 SMTP 命令注入漏洞可能允许远程攻击者伪造来自受信任服务器的任意电子邮件。

    此安全更新还包含 CVE-2024-29025的修复。
    Julien Viet 发现由于 HttpPostRequestDecoder 中的数据累积Netty 容易受到无限制或节流的资源分配漏洞的攻击。这会允许攻击者造成拒绝服务。

    对于 Debian 11 Bullseye这些问题已在版本 1:4.1.48-4+deb11u3 中修复。

    建议您升级 netty 程序包。

    如需了解 netty 的详细安全状态，请参阅其安全跟踪页面：
    https://security-tracker.debian.org/tracker/netty

    有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://wiki.debian.org/LTS

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:5479 公告中提及的多个漏洞的影响。

    Red Hat JBoss Enterprise Application Platform 8 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 8.0.3 版本可替换 Red Hat JBoss Enterprise Application Platform 8.0.2，并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 8.0.3 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

    安全修复：

    * cxf-core：使用 Aegis 数据绑定 [eap-8.0.z] 的 Apache CXF SSRF 漏洞 (CVE-2024-28752)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 时序变体的影响（Marvin 攻击）[eap-8.0.z] (CVE-2024-30171)

    * netty-codec-http：无限制或节流的资源分配 [eap-8.0.z] (CVE-2024-29025)

    * org.bouncycastle：bcprov-jdk18on：ScalarUtil 类的 ED25519 验证中存在无限循环 [eap-8.0.z] (CVE-2024-30172)

    * org.bouncycastle：bcprov-jdk18on：org.bouncycastle：导入含有构建的 F2m 参数的 EC 证书可能导致拒绝服务 [eap-8.0.z] (CVE-2024-29857)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Debian 10 主机上安装的程序包受到 dla-3834 公告中提及的一个漏洞影响。

    - ------------------------------------------------------------------------- Debian LTS 公告 DLA-3834-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Markus Koschany 2024 年 6 月 21 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

    程序包：netty 版本：1:4.1.33-1+deb10u5 CVE ID： CVE-2024-29025 Debian 缺陷：1068110

    Julien Viet 发现 Java NIO 客户端/服务器套接字框架 Netty 容易受到资源无限分配或节流影响，这是因为 HttpPostRequestDecoder 中的数据累积所致。这会允许攻击者造成拒绝服务。

    对于 Debian 10 Buster，已在 1:4.1.33-1+deb10u5 版本中修复此问题。

    建议您升级 netty 程序包。

    如需了解 netty 的详细安全状态，请参阅其安全跟踪页面：
    https://security-tracker.debian.org/tracker/netty

    有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://wiki.debian.org/LTSAttachment:signature.ascDescription: 此消息部分已经过数字签署

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Ubuntu 16.04 LTS / 18.04 LTS / 20.04 LTS / 22.04 LTS / 24.04 LTS / 24.10 主机上安装的一个程序包受到 USN-7284-1 公告中提及的多个漏洞影响。

    Jonathan Leitschuh 发现，Netty 在写入临时文件时未正确处理文件权限。攻击者可能会利用此漏洞泄露敏感信息。(CVE-2022-24823)

    据发现，Netty 在解码 HTTP 请求时未正确处理字段数量限制。攻击者可能利用此问题来造成拒绝服务。此问题仅影响 Ubuntu 16.04 LTS、Ubuntu 18.04 LTS、Ubuntu 20.04 LTS、Ubuntu 22.04 LTS 和 Ubuntu 24.04 LTS。
    (CVE-2024-29025)

Tenable 已直接从 Ubuntu 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2024:5481 公告中提及的多个漏洞的影响。

    Red Hat JBoss Enterprise Application Platform 8 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 8.0.3 版本可替换 Red Hat JBoss Enterprise Application Platform 8.0.2，并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 8.0.3 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

    安全修复：

    * cxf-core：使用 Aegis 数据绑定 [eap-8.0.z] 的 Apache CXF SSRF 漏洞 (CVE-2024-28752)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 时序变体的影响（Marvin 攻击）[eap-8.0.z] (CVE-2024-30171)

    * netty-codec-http：无限制或节流的资源分配 [eap-8.0.z] (CVE-2024-29025)

    * org.bouncycastle：bcprov-jdk18on：ScalarUtil 类的 ED25519 验证中存在无限循环 [eap-8.0.z] (CVE-2024-30172)

    * org.bouncycastle：bcprov-jdk18on：org.bouncycastle：导入含有构建的 F2m 参数的 EC 证书可能导致拒绝服务 [eap-8.0.z] (CVE-2024-29857)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Coherence 12.2.1.4.0 和 14.1.1.0.0 版本受到 2024 年 7 月 CPU 公告中提及的多个漏洞影响。

  - Oracle Fusion Middleware 的 Oracle Coherence 产品中的漏洞（组件：Third Party (Eclipse Jetty)）。
    支持的版本中受影响的是 12.2.1.4.0 和 14.1.1.0.0。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP/2 进行网络访问，从而破坏 Oracle Coherence。若攻击成功，攻击者在未经授权的情况下可造成 Oracle Coherence 挂起或频繁崩溃（完全 DOS）。(CVE-2024-22201)

  - Oracle Fusion Middleware 的 Oracle Coherence 产品中的漏洞（组件：Third Party (Netty)）。支持的版本中受影响的是 12.2.1.4.0 和 14.1.1.0.0。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Coherence。成功攻击此漏洞可导致在未经授权的情况下造成 Oracle Coherence 部分拒绝服务（部分 DOS）。(CVE-2024-29025)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:5144 公告中提及的多个漏洞影响。

    Red Hat JBoss Enterprise Application Platform 7 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 7.4.18 版本可替换 Red Hat JBoss Enterprise Application Platform 7.4.17，并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 7.4.18 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

    安全修复：

    * undertow：在有 Java 17 TLSv1.3 NewSessionTicket 的情况下，会发生响应写入挂起 [eap-7.4.z] (CVE-2024-5971)

    * undertow：LearningPushHandler 可导致远程内存 DoS 攻击 [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 时序变体的影响（Marvin 攻击）[eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle：bcprov-jdk18on：org.bouncycastle：导入含有构建的 F2m 参数的 EC 证书可能导致拒绝服务 [eap-7.4.z] (CVE-2024-29857)

    * netty-codec-http：无限制或节流的资源分配 [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle：bcprov-jdk18on：ScalarUtil 类的 ED25519 验证中存在无限循环 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2：httpd：CONTINUATION 框架 DoS [eap-7.4.z] (CVE-2024-27316)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Oracle Business Intelligence Publisher (OAS) 版本受到 2025 年 1 月 CPU 公告中提及的一个漏洞影响。

  - Oracle Analytics 的 Oracle BI Publisher 产品中的漏洞（组件：Development Operations (Spring Framework)）。支持的版本中受影响的是 7.0.0.0.0 和 7.6.0.0.0。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle BI Publisher。成功利用此漏洞进行攻击可导致接管 Oracle BI Publisher。
    (CVE-2016-1000027)

  - Oracle Analytics 的 Oracle BI Publisher 产品中的漏洞（组件：XML Services (Snowflake JDBC)）。支持的版本中受影响的是 7.0.0.0.0 和 7.6.0.0.0。此漏洞较难攻击，其允许高权限攻击者通过 HTTP 进行网络访问，从而破坏 Oracle BI Publisher。若攻击成功，攻击者可在未经授权的情况下创建、删除或修改关键数据或所有的 Oracle BI Publisher 可访问数据，并且未经授权即可访问关键数据或完整访问所有的 Oracle BI Publisher 可访问数据。(CVE-2024-43382)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的多个程序包受到 RHSA-2024:5143 公告中提及的多个漏洞影响。

    Red Hat JBoss Enterprise Application Platform 7 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 7.4.18 版本可替换 Red Hat JBoss Enterprise Application Platform 7.4.17，并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 7.4.18 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

    安全修复：

    * undertow：在有 Java 17 TLSv1.3 NewSessionTicket 的情况下，会发生响应写入挂起 [eap-7.4.z] (CVE-2024-5971)

    * undertow：LearningPushHandler 可导致远程内存 DoS 攻击 [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 时序变体的影响（Marvin 攻击）[eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle：bcprov-jdk18on：org.bouncycastle：导入含有构建的 F2m 参数的 EC 证书可能导致拒绝服务 [eap-7.4.z] (CVE-2024-29857)

    * netty-codec-http：无限制或节流的资源分配 [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle：bcprov-jdk18on：ScalarUtil 类的 ED25519 验证中存在无限循环 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2：httpd：CONTINUATION 框架 DoS [eap-7.4.z] (CVE-2024-27316)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的多个程序包受到 RHSA-2024:5145 公告中提及的多个漏洞影响。

    Red Hat JBoss Enterprise Application Platform 7 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 7.4.18 版本可替换 Red Hat JBoss Enterprise Application Platform 7.4.17，并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 7.4.18 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

    安全修复：

    * undertow：在有 Java 17 TLSv1.3 NewSessionTicket 的情况下，会发生响应写入挂起 [eap-7.4.z] (CVE-2024-5971)

    * undertow：LearningPushHandler 可导致远程内存 DoS 攻击 [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 时序变体的影响（Marvin 攻击）[eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle：bcprov-jdk18on：org.bouncycastle：导入含有构建的 F2m 参数的 EC 证书可能导致拒绝服务 [eap-7.4.z] (CVE-2024-29857)

    * netty-codec-http：无限制或节流的资源分配 [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle：bcprov-jdk18on：ScalarUtil 类的 ED25519 验证中存在无限循环 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2：httpd：CONTINUATION 框架 DoS [eap-7.4.z] (CVE-2024-27316)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Debian 12 / 13 主机上存在安装的程序包该程序包受到 dsa-6160 公告中提及的多个漏洞的影响。

    - ------------------------------------------------- ------------------------ Debian 安全公告 DSA-6160-1 security@debian.org https://www.debian.org/security/Markus Koschany 2026 年 3 月 11 日 https://www.debian.org/security/faq
    - -------------------------------------------------------------------------

    程序包netty CVE ID CVE-2025-55163 CVE-2025-58056 CVE-2025-58057 CVE-2025-59419 CVE-2025-67735 CVE-2024-29025 Debian 缺陷1068110 1111105 1113995 1113994 1118282 1123606

    在 Java NIO 客户端/服务器套接字框架 Netty 中发现数个安全漏洞。发现 Netty 容易遭受madeYouReset DDoS 攻击这是 HTTP/2 协议本身中的逻辑漏洞和编程错误可启用请求走私攻击。
    此外Netty 中包含一个因不充分的输入验证而导致的 SMTP 命令注入漏洞可能允许远程攻击者伪造来自受信任服务器的任意电子邮件。

    bookbird 的安全更新也包含针对 CVE-2024-29025的补丁。
    Julien Viet 发现由于 HttpPostRequestDecoder 中的数据累积Netty 容易受到无限制或节流的资源分配漏洞的攻击。这会允许攻击者造成拒绝服务。


    对于旧稳定发行版本 (bookbird)这些问题已在版本 1:4.1.48-7+deb12u2 中修复。

    对于稳定发行版本 (trixie)已在版本 1:4.1.48-10+deb13u1 中修复这些问题。

    建议您升级 netty 程序包。

    如需了解 netty 的详细安全状态，请参阅其安全跟踪页面：
    https://security-tracker.debian.org/tracker/netty

    有关 Debian 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://www.debian.org/security/

    邮件列表：debian-security-announce@lists.debian.org

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
209256	Oracle Enterprise Manager Cloud Control （2024 年 10 月 CPU）	Nessus	Misc.	2024/10/17	2026/2/24	critical
304553	Debian dla-4519libnetty-java - 安全更新	Nessus	Debian Local Security Checks	2026/4/1	2026/4/1	high
205637	RHEL 8：Red Hat JBoss Enterprise Application Platform 8.0.3 安全更新（重要）(RHSA-2024:5479)	Nessus	Red Hat Local Security Checks	2024/8/15	2025/9/22	critical
200859	Debian dla-3834：libnetty-java - 安全更新	Nessus	Debian Local Security Checks	2024/6/22	2025/9/22	medium
216685	Ubuntu 16.04 LTS / 18.04 LTS / 20.04 LTS / 22.04 LTS / 24.04 LTS / 24.10：Netty 漏洞 (USN-7284-1)	Nessus	Ubuntu Local Security Checks	2025/2/24	2025/9/3	medium
205636	RHEL 9：Red Hat JBoss Enterprise Application Platform 8.0.3 安全更新（重要）(RHSA-2024:5481)	Nessus	Red Hat Local Security Checks	2024/8/15	2025/9/22	critical
202702	Oracle Coherence（2024 年 7 月 CPU）	Nessus	Misc.	2024/7/19	2025/9/22	high
205219	RHEL 8：Red Hat JBoss Enterprise Application Platform 7.4.18 安全更新（重要）(RHSA-2024:5144)	Nessus	Red Hat Local Security Checks	2024/8/8	2026/2/24	high
214596	Oracle Business Intelligence Publisher 7.0 / 7.6 (OAS)（2024 年 1 月 CPU）	Nessus	Misc.	2025/1/24	2026/4/30	high
205218	RHEL 7：Red Hat JBoss Enterprise Application Platform 7.4.18 安全更新（重要）(RHSA-2024:5143)	Nessus	Red Hat Local Security Checks	2024/8/8	2026/2/24	high
205220	RHEL 9：Red Hat JBoss Enterprise Application Platform 7.4.18 安全更新（重要）(RHSA-2024:5145)	Nessus	Red Hat Local Security Checks	2024/8/8	2026/2/24	high
301895	Debian dsa-6160libnetty-java - 安全更新	Nessus	Debian Local Security Checks	2026/3/11	2026/3/11	high

检测

插件搜索

critical

high

critical

medium

medium

critical

high

high

high

high

high

high