RHEL 7/8Red Hat JBoss Core Services Apache HTTP Server 2.4.62 SP1RHSA-2025:13680]
critical Nessus プラグイン ID 249349
Language:
概要
リモートの Red Hat ホストに、Red Hat JBoss Core Services Apache HTTP Server 2.4.62 SP1 用の 1 つ以上のセキュリティ更新プログラムがありません。説明
リモート Redhat Enterprise Linux 7 / 8 ホストに、RHSA-2025:13680 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。Red Hat JBoss Core Servicesは、Red Hat JBossミドルウェア製品の補足ソフトウェアのセットです。Apache HTTP Server などのこのソフトウェアは複数の JBoss ミドルウェア製品に共通であり、Red Hat JBoss Core Services としてパッケージ化され、更新プログラムの迅速な配信やより一貫した更新が可能です。
Red Hat JBoss Core Services 2.4.62 Apache HTTP Server のこのリリースは、Red Hat JBoss Core Services Apache HTTP Server に置き換わるものとして機能し、 にリンクされているリリースノートに記載されているバグ修正と拡張機能が含まれています 2.4.62。 「参照」セクション。
セキュリティ修正プログラム:
* httpdTLS アップグレードによる HTTP セッションハイジャック [jbcs-httpd-2.4]CVE-2025-49812
* httpd信頼できるクライアントによるアクセスコントロールのバイパスが、TLS を使用する際に可能です 1.3 セッション再開 [jbcs-httpd-2.4]CVE-2025-23048]
* httpdmod_ssl のユーザー指定データのエスケープが不十分 [jbcs-httpd-2.4]CVE-2024-47252
* httpdクライアントからの信頼できない入力により、Apache mod_proxy_http2 モジュールでアサーションが失敗します [jbcs-httpd-2.4]CVE-2025-49630]
* jbcs-httpd24-mod_securityModSecurity に DoS 脆弱性の可能性があります [jbcs-httpd-2.4]CVE-2025-47947
この欠陥に関する詳細を記載した Red Hat セキュリティ報告書は、[参考資料] セクションから入手できます。
影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVe のページを参照してください。
Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
RHSA-2025:13680のガイダンスに基づいて RHEL Red Hat JBoss Core Services Apache HTTP Server 2.4.62 SP1 パッケージを更新してください。参考資料
https://access.redhat.com/security/updates/classification/#important
http://www.nessus.org/u?801f9f03
https://bugzilla.redhat.com/show_bug.cgi?id=2367903
https://bugzilla.redhat.com/show_bug.cgi?id=2374571
https://bugzilla.redhat.com/show_bug.cgi?id=2374576
https://bugzilla.redhat.com/show_bug.cgi?id=2374578
https://bugzilla.redhat.com/show_bug.cgi?id=2374580
プラグインの詳細
深刻度: Critical
ID: 249349
ファイル名: redhat-RHSA-2025-13680.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
公開日: 2025/8/14
更新日: 2025/8/14
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.0
Vendor
Vendor Severity: Important
CVSS v2
リスクファクター: High
基本値: 9.4
現状値: 7.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N
CVSS スコアのソース: CVE-2025-23048
CVSS v3
リスクファクター: Critical
基本値: 9.1
現状値: 8.2
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-tools, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_jk-ap24, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_jk, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_ldap, cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_session, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_proxy_cluster, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_ssl, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_proxy_html, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_md, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_security, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_http2, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-selinux, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-devel, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-manual
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2025/8/14
脆弱性公開日: 2025/5/21
参照情報
CVE: CVE-2024-47252, CVE-2025-23048, CVE-2025-47947, CVE-2025-49630, CVE-2025-49812
RHSA: 2025:13680