検出

RHEL 7 / 8 : Red Hat JBoss Core Services Apache HTTP Server 2.4.57 SP6 (RHSA-2024:6927)

high Nessus プラグイン ID 207702

Language:

概要

リモートの Red Hat ホストに、Red Hat JBoss Core Services Apache HTTP Server 2.4.57 SP6 用の 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモート Redhat Enterprise Linux 7 / 8 / 9 ホストに、RHSA-2024:6927 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

 Red Hat JBoss Core Services は、Red Hat JBoss ミドルウェア製品の補足ソフトウェアのセットです。Apache HTTP Server などのこのソフトウェアは複数の JBoss ミドルウェア製品に共通であり、Red Hat JBoss Core Services としてパッケージ化され、更新プログラムの迅速な配信やより一貫した更新が可能です。

 Red Hat JBoss Core Services Apache HTTP Server 2.4.57 Service Pack 6 のこのリリースは、Red Hat JBoss Core Services Apache HTTP Server 2.4.57 Service Pack 5 を置き換え、バグ修正と機能強化の内容は、[参照] セクションでリンクされているリリースノートに記載されています。

 セキュリティ修正プログラム:

 * jbcs-httpd24-httpd: HTTP の応答分割 (CVE-2023-38709)
 * jbcs-httpd24-mod_jk: 情報漏洩 / DoS (CVE-2024-46544)

 この欠陥に関する詳細を記載した Red Hat セキュリティ報告書は、[参考資料] セクションから入手できます。

 影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

RHEL Red Hat JBoss Core Services Apache HTTP Server 2.4.57 SP6 パッケージを RHSA-2024:6927 のガイダンスに基づいて更新してください。

参考資料

https://access.redhat.com/security/updates/classification/#moderate

http://www.nessus.org/u?dcd3f123

http://www.nessus.org/u?fbf0874d

https://bugzilla.redhat.com/show_bug.cgi?id=2273491

https://bugzilla.redhat.com/show_bug.cgi?id=2314194

https://access.redhat.com/errata/RHSA-2024:6927

プラグインの詳細

深刻度: High

ID: 207702

ファイル名: redhat-RHSA-2024-6927.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2024/9/24

更新日: 2024/11/6

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.2

Vendor

Vendor Severity: Moderate

CVSS v2

リスクファクター: High

基本値: 7.1

現状値: 5.3

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:N/I:C/A:C

CVSS スコアのソース: CVE-2023-38709

CVSS v3

リスクファクター: High

基本値: 7.3

現状値: 6.4

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_jk-ap24, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_proxy_html, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_ldap, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-selinux, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_ssl, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-manual, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-tools, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_jk, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-devel, cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_session

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/9/24

脆弱性公開日: 2024/4/4

参照情報

CVE: CVE-2023-38709, CVE-2024-46544

CWE: 113, 276

RHSA: 2024:6927