远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:5479 公告中提及的多个漏洞的影响。

    Red Hat JBoss Enterprise Application Platform 8 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 8.0.3 版本可替换 Red Hat JBoss Enterprise Application Platform 8.0.2，并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 8.0.3 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

    安全修复：

    * cxf-core：使用 Aegis 数据绑定 [eap-8.0.z] 的 Apache CXF SSRF 漏洞 (CVE-2024-28752)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 时序变体的影响（Marvin 攻击）[eap-8.0.z] (CVE-2024-30171)

    * netty-codec-http：无限制或节流的资源分配 [eap-8.0.z] (CVE-2024-29025)

    * org.bouncycastle：bcprov-jdk18on：ScalarUtil 类的 ED25519 验证中存在无限循环 [eap-8.0.z] (CVE-2024-30172)

    * org.bouncycastle：bcprov-jdk18on：org.bouncycastle：导入含有构建的 F2m 参数的 EC 证书可能导致拒绝服务 [eap-8.0.z] (CVE-2024-29857)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Oracle Business Intelligence Publisher (OAS) 版本受到 2025 年 1 月 CPU 公告中提及的一个漏洞影响。

  - Oracle Analytics 的 Oracle BI Publisher 产品中的漏洞（组件：Development Operations (Spring Framework)）。支持的版本中受影响的是 7.0.0.0.0 和 7.6.0.0.0。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle BI Publisher。成功利用此漏洞进行攻击可导致接管 Oracle BI Publisher。
    (CVE-2016-1000027)

  - Oracle Analytics 的 Oracle BI Publisher 产品中的漏洞（组件：XML Services (Snowflake JDBC)）。支持的版本中受影响的是 7.0.0.0.0 和 7.6.0.0.0。此漏洞较难攻击，其允许高权限攻击者通过 HTTP 进行网络访问，从而破坏 Oracle BI Publisher。若攻击成功，攻击者可在未经授权的情况下创建、删除或修改关键数据或所有的 Oracle BI Publisher 可访问数据，并且未经授权即可访问关键数据或完整访问所有的 Oracle BI Publisher 可访问数据。(CVE-2024-43382)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Enterprise Manager Base Platform 13.5.0.0 版本受到 2024 年 10 月 CPU 公告中提及的多个漏洞影响。

  - Oracle Enterprise Manager 的 Oracle Enterprise Manager Base Platform 产品中存在漏洞（组件：Agent Next Gen (BSAFE Crypto-J)）。支持的版本中受影响的是 13.5.0.0。利用此漏洞的难度较小，未经身份验证的攻击者可通过 HTTP 进行网络访问，从而入侵 Oracle Enterprise Manager Base Platform。成功攻击此漏洞可导致接管 Oracle Enterprise Manager Base Platform。(CVE-2022-34381)

  - Oracle Enterprise Manager 的 Oracle Enterprise Manager Base Platform 产品中存在漏洞（组件：Agent Next Gen (Eclipse Jetty)）。支持的版本中受影响的是 13.5.0.0。利用此漏洞的难度较小，未经身份验证的攻击者可通过 HTTP/2 进行网络访问，从而入侵 Oracle Enterprise Manager Base Platform。成功利用此漏洞进行攻击可导致在未经授权的情况下挂起 Oracle Enterprise Manager Base Platform，或者频繁出现重复崩溃（完整 DOS）。(CVE-2024-22201)

  - Oracle Enterprise Manager 的 Oracle Enterprise Manager Base Platform 产品中存在漏洞（组件：Job System (Netty)）。支持的版本中受影响的是 13.5.0.0。利用此漏洞的难度较小，未经身份验证的攻击者可通过 HTTP 进行网络访问，从而入侵 Oracle Enterprise Manager Base Platform。成功攻击此漏洞可导致在未经授权的情况下造成 Oracle Enterprise Manager Base Platform 部分拒绝服务（部分 DOS）。
    (CVE-2024-29025)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Debian 10 主机上安装的程序包受到 dla-3834 公告中提及的一个漏洞影响。

    - ------------------------------------------------------------------------- Debian LTS 公告 DLA-3834-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Markus Koschany 2024 年 6 月 21 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

    程序包：netty 版本：1:4.1.33-1+deb10u5 CVE ID： CVE-2024-29025 Debian 缺陷：1068110

    Julien Viet 发现 Java NIO 客户端/服务器套接字框架 Netty 容易受到资源无限分配或节流影响，这是因为 HttpPostRequestDecoder 中的数据累积所致。这会允许攻击者造成拒绝服务。

    对于 Debian 10 Buster，已在 1:4.1.33-1+deb10u5 版本中修复此问题。

    建议您升级 netty 程序包。

    如需了解 netty 的详细安全状态，请参阅其安全跟踪页面：
    https://security-tracker.debian.org/tracker/netty

    有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://wiki.debian.org/LTSAttachment:signature.ascDescription: 此消息部分已经过数字签署

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2024:5144 公告中提及的多个漏洞影响。

    Red Hat JBoss Enterprise Application Platform 7 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 7.4.18 版本可替换 Red Hat JBoss Enterprise Application Platform 7.4.17，并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 7.4.18 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

    安全修复：

    * undertow：在有 Java 17 TLSv1.3 NewSessionTicket 的情况下，会发生响应写入挂起 [eap-7.4.z] (CVE-2024-5971)

    * undertow：LearningPushHandler 可导致远程内存 DoS 攻击 [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 时序变体的影响（Marvin 攻击）[eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle：bcprov-jdk18on：org.bouncycastle：导入含有构建的 F2m 参数的 EC 证书可能导致拒绝服务 [eap-7.4.z] (CVE-2024-29857)

    * netty-codec-http：无限制或节流的资源分配 [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle：bcprov-jdk18on：ScalarUtil 类的 ED25519 验证中存在无限循环 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2：httpd：CONTINUATION 框架 DoS [eap-7.4.z] (CVE-2024-27316)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Coherence 12.2.1.4.0 和 14.1.1.0.0 版本受到 2024 年 7 月 CPU 公告中提及的多个漏洞影响。

  - Oracle Fusion Middleware 的 Oracle Coherence 产品中的漏洞（组件：Third Party (Eclipse Jetty)）。
    支持的版本中受影响的是 12.2.1.4.0 和 14.1.1.0.0。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP/2 进行网络访问，从而破坏 Oracle Coherence。若攻击成功，攻击者在未经授权的情况下可造成 Oracle Coherence 挂起或频繁崩溃（完全 DOS）。(CVE-2024-22201)

  - Oracle Fusion Middleware 的 Oracle Coherence 产品中的漏洞（组件：Third Party (Netty)）。支持的版本中受影响的是 12.2.1.4.0 和 14.1.1.0.0。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Coherence。成功攻击此漏洞可导致在未经授权的情况下造成 Oracle Coherence 部分拒绝服务（部分 DOS）。(CVE-2024-29025)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的多个程序包受到 RHSA-2024:5145 公告中提及的多个漏洞影响。

    Red Hat JBoss Enterprise Application Platform 7 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 7.4.18 版本可替换 Red Hat JBoss Enterprise Application Platform 7.4.17，并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 7.4.18 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

    安全修复：

    * undertow：在有 Java 17 TLSv1.3 NewSessionTicket 的情况下，会发生响应写入挂起 [eap-7.4.z] (CVE-2024-5971)

    * undertow：LearningPushHandler 可导致远程内存 DoS 攻击 [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 时序变体的影响（Marvin 攻击）[eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle：bcprov-jdk18on：org.bouncycastle：导入含有构建的 F2m 参数的 EC 证书可能导致拒绝服务 [eap-7.4.z] (CVE-2024-29857)

    * netty-codec-http：无限制或节流的资源分配 [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle：bcprov-jdk18on：ScalarUtil 类的 ED25519 验证中存在无限循环 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2：httpd：CONTINUATION 框架 DoS [eap-7.4.z] (CVE-2024-27316)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2024:5481 公告中提及的多个漏洞的影响。

    Red Hat JBoss Enterprise Application Platform 8 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 8.0.3 版本可替换 Red Hat JBoss Enterprise Application Platform 8.0.2，并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 8.0.3 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

    安全修复：

    * cxf-core：使用 Aegis 数据绑定 [eap-8.0.z] 的 Apache CXF SSRF 漏洞 (CVE-2024-28752)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 时序变体的影响（Marvin 攻击）[eap-8.0.z] (CVE-2024-30171)

    * netty-codec-http：无限制或节流的资源分配 [eap-8.0.z] (CVE-2024-29025)

    * org.bouncycastle：bcprov-jdk18on：ScalarUtil 类的 ED25519 验证中存在无限循环 [eap-8.0.z] (CVE-2024-30172)

    * org.bouncycastle：bcprov-jdk18on：org.bouncycastle：导入含有构建的 F2m 参数的 EC 证书可能导致拒绝服务 [eap-8.0.z] (CVE-2024-29857)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Netty 是一个异步事件驱动的网络应用程序框架，用于快速开发可维护的高性能协议服务器和客户端。可诱骗“HttpPostRequestDecoder”来累积数据。尽管解码器可以按照配置在磁盘上存储项目，但是表单可以包含的字段数量没有限制，附加程序可以发送由许多小字段组成的分块 post，这些字段将在 `bodyListHttpData` 列表中累积。解码器会累积“undecodedChunk”缓冲区中的字节，直到可以解码字段为止，此字段可以无限制地累积数据。已在 4.1.108.Final 中修复此漏洞。 (CVE-2024-29025)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的多个程序包受到 RHSA-2024:5143 公告中提及的多个漏洞影响。

    Red Hat JBoss Enterprise Application Platform 7 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 7.4.18 版本可替换 Red Hat JBoss Enterprise Application Platform 7.4.17，并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 7.4.18 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

    安全修复：

    * undertow：在有 Java 17 TLSv1.3 NewSessionTicket 的情况下，会发生响应写入挂起 [eap-7.4.z] (CVE-2024-5971)

    * undertow：LearningPushHandler 可导致远程内存 DoS 攻击 [eap-7.4.z] (CVE-2024-3653)

    * org.bouncycastle-bcprov-jdk18on：BouncyCastle 容易受到 Bleichenbacher 时序变体的影响（Marvin 攻击）[eap-7.4.z] (CVE-2024-30171)

    * org.bouncycastle：bcprov-jdk18on：org.bouncycastle：导入含有构建的 F2m 参数的 EC 证书可能导致拒绝服务 [eap-7.4.z] (CVE-2024-29857)

    * netty-codec-http：无限制或节流的资源分配 [eap-7.4.z] (CVE-2024-29025)

    * org.bouncycastle：bcprov-jdk18on：ScalarUtil 类的 ED25519 验证中存在无限循环 [eap-7.4.z] (CVE-2024-30172)

    * HTTP-2：httpd：CONTINUATION 框架 DoS [eap-7.4.z] (CVE-2024-27316)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Ubuntu 16.04 LTS / 18.04 LTS / 20.04 LTS / 22.04 LTS / 24.04 LTS / 24.10 主机上安装的一个程序包受到 USN-7284-1 公告中提及的多个漏洞影响。

    Jonathan Leitschuh 发现，Netty 在写入临时文件时未正确处理文件权限。攻击者可能会利用此漏洞泄露敏感信息。(CVE-2022-24823)

    据发现，Netty 在解码 HTTP 请求时未正确处理字段数量限制。攻击者可能利用此问题来造成拒绝服务。此问题仅影响 Ubuntu 16.04 LTS、Ubuntu 18.04 LTS、Ubuntu 20.04 LTS、Ubuntu 22.04 LTS 和 Ubuntu 24.04 LTS。
    (CVE-2024-29025)

Tenable 已直接从 Ubuntu 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
205637	RHEL 8：Red Hat JBoss Enterprise Application Platform 8.0.3 安全更新（重要）(RHSA-2024:5479)	Nessus	Red Hat Local Security Checks	2024/8/15	2024/11/7	critical
214596	Oracle Business Intelligence Publisher 7.0 / 7.6 (OAS)（2024 年 1 月 CPU）	Nessus	Misc.	2025/1/24	2025/7/31	high
209256	Oracle Enterprise Manager Cloud Control （2024 年 10 月 CPU）	Nessus	Misc.	2024/10/17	2024/10/18	critical
200859	Debian dla-3834：libnetty-java - 安全更新	Nessus	Debian Local Security Checks	2024/6/22	2024/6/22	medium
205219	RHEL 8：Red Hat JBoss Enterprise Application Platform 7.4.18 安全更新（重要）(RHSA-2024:5144)	Nessus	Red Hat Local Security Checks	2024/8/8	2025/1/3	high
202702	Oracle Coherence（2024 年 7 月 CPU）	Nessus	Misc.	2024/7/19	2024/7/22	high
205220	RHEL 9：Red Hat JBoss Enterprise Application Platform 7.4.18 安全更新（重要）(RHSA-2024:5145)	Nessus	Red Hat Local Security Checks	2024/8/8	2025/1/3	high
205636	RHEL 9：Red Hat JBoss Enterprise Application Platform 8.0.3 安全更新（重要）(RHSA-2024:5481)	Nessus	Red Hat Local Security Checks	2024/8/15	2024/11/7	critical
228179	Linux Distros 未修补的漏洞: CVE-2024-29025	Nessus	Misc.	2025/3/5	2025/9/1	medium
205218	RHEL 7：Red Hat JBoss Enterprise Application Platform 7.4.18 安全更新（重要）(RHSA-2024:5143)	Nessus	Red Hat Local Security Checks	2024/8/8	2025/1/3	high
216685	Ubuntu 16.04 LTS / 18.04 LTS / 20.04 LTS / 22.04 LTS / 24.04 LTS / 24.10：Netty 漏洞 (USN-7284-1)	Nessus	Ubuntu Local Security Checks	2025/2/24	2025/9/3	medium

检测

插件搜索

critical

high

critical

medium

high

high

high

critical

medium

high

medium