远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2016:1773 公告中提及的多个漏洞影响。

  - Apache HttpComponents 客户端/Apache CXF：SSL 主机名验证绕过，CVE-2012-6153 修复不完整 (CVE-2014-3577)

  - apache-commons-collections：反序列化期间发生 InvokerTransformer 代码执行 (CVE-2015-7501)

  - jenkins：远程处理模块中存在远程代码执行漏洞 (SECURITY-232) (CVE-2016-0788)

  - jenkins：HTTP 响应拆分漏洞 (SECURITY-238) (CVE-2016-0789)

  - jenkins：API 令牌的非常量时间比较 (SECURITY-241) (CVE-2016-0790)

  - jenkins：CSRF crumb 的非常量时间比较 (SECURITY-245) (CVE-2016-0791)

  - jenkins：通过远程 API 发起远程代码执行 (SECURITY-247) (CVE-2016-0792)

  - jenkins：任意构建参数作为环境变量传递到构建脚本 (SECURITY-170) (CVE-2016-3721)

  - jenkins：拥有多个用户帐户的恶意用户可阻止其他用户登录 (SECURITY-243) (CVE-2016-3722)

  - jenkins：有关已安装插件的信息通过 API 暴露 (SECURITY-250) (CVE-2016-3723)

  - jenkins：加密密钥（例如密码）被泄露给有配置读取权限的用户 (SECURITY-266) (CVE-2016-3724)

  - jenkins：普通用户可触发下载更新站点元数据操作 (SECURITY-273) (CVE-2016-3725)

  - jenkins：开放重定向到方案相关的 URL (SECURITY-276) (CVE-2016-3726)

  - jenkins：授予节点配置读取权限会导致整体系统配置都可以被访问 (SECURITY-281) (CVE-2016-3727)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

RHEL 6：Red Hat OpenShift Enterprise 2.2.10 (RHSA-2016:1773)

critical Nessus 插件 ID 119378

版本 1.8