検出

プラグイン

RHEL 7 / 8 : Red Hat JBoss Core Services Apache HTTP Server 2.4.62 SP3 (RHSA-2026:2994)

high Nessus プラグイン ID 299848

Language:

概要

リモートの Red Hat ホストに、Red Hat JBoss Core Services Apache HTTP Server 2.4.62 SP3 用の 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモート Redhat Enterprise Linux 7 / 8 ホストに、RHSA-2026:2994 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

Red Hat JBoss Core Services は、Red Hat JBoss ミドルウェア製品の補足ソフトウェアのセットです。Apache HTTP Server などのこのソフトウェアは複数の JBoss ミドルウェア製品に共通であり、Red Hat JBoss Core Services としてパッケージ化され、更新プログラムの迅速な配信やより一貫した更新が可能です。

Red Hat JBoss Core Services Apache HTTP Server 2.4.62 Service Pack 3 は、Red Hat JBoss Core Services Apache HTTP Server 2.4.62 Service Pack 2 の代替として機能し、リンクされたリリースノートにドキュメント化されているバグ修正と拡張機能が含まれています。「参照」セクションで説明されている

セキュリティ修正プログラム:

* opensslRFC 3211 KEK Unwrap の領域外読み取りと書き込み [jbcs-httpd-2.4]CVE-2025-9230]
* jbcs-httpd24-httpdApache HTTP サーバーサーバーサイドインクルージョンは、クエリ文字列を #exec cmd=... に追加します [jbcs-httpd-2.4]CVE-2025-58098]
* jbcs-httpd24-httpdApache HTTP サーバーmod_mdACME、意図しない再試行間隔 [jbcs-httpd-2.4]CVE-2025-55753]
* jbcs-httpd24-httpdApache HTTP Server CGI 環境変数のオーバーライド [jbcs-httpd-2.4]CVE-2025-65082
* jbcs-httpd24-httpdApache HTTP サーバーAllowOverride FileInfo を介して、mod_userdir+suexec がバイパスされます [jbcs-httpd-2.4]CVE-2025-66200]
* opensslOpenSSL領域外書き込みによる任意のコードの実行 PKCS#12CVE-2025-69419]

この欠陥に関する詳細を記載した Red Hat セキュリティ報告書は、[参考資料] セクションから入手できます。

影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVe のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

RHEL Red Hat JBoss Core Services Apache HTTP Server 2.4.62 SP3 パッケージを RHSA-2026:2994 のガイダンスに基づいて更新してください。

参考資料

https://access.redhat.com/security/updates/classification/#important

http://www.nessus.org/u?09f577d1

https://bugzilla.redhat.com/show_bug.cgi?id=2396054

https://bugzilla.redhat.com/show_bug.cgi?id=2419139

https://bugzilla.redhat.com/show_bug.cgi?id=2419140

https://bugzilla.redhat.com/show_bug.cgi?id=2419262

https://bugzilla.redhat.com/show_bug.cgi?id=2419365

https://bugzilla.redhat.com/show_bug.cgi?id=2430386

http://www.nessus.org/u?a89e01d0

https://access.redhat.com/errata/RHSA-2026:2994

プラグインの詳細

深刻度: High

ID: 299848

ファイル名: redhat-RHSA-2026-2994.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

ファミリー: Red Hat Local Security Checks

公開日: 2026/2/24

更新日: 2026/2/24

サポートされているセンサー: Continuous Assessment, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.0

Vendor

Vendor Severity: Important

CVSS v2

リスクファクター: High

基本値: 8.7

現状値: 6.4

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:P

CVSS スコアのソース: CVE-2025-58098

CVSS v3

リスクファクター: High

基本値: 8.3

現状値: 7.2

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-libcurl, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-apr-util-nss, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-libcurl-devel, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_ldap, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-apr-util-sqlite, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-selinux, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-curl, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_md, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-pkcs11, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-static, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_proxy_cluster, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-apr-util-openssl, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_http2, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-perl, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-apr-util-odbc, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_proxy_html, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-apr-util-ldap, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-apr-util, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-manual, cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-chil, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_jk-ap24, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_ssl, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_jk, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-apr-util-pgsql, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-apr-util-mysql, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-devel, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_security, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-libs, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-tools, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-apr-util-devel, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-devel, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_session

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/2/23

脆弱性公開日: 2024/4/9

参照情報

CVE: CVE-2025-55753, CVE-2025-58098, CVE-2025-65082, CVE-2025-66200, CVE-2025-69419, CVE-2025-9230

CWE: 131, 150, 190, 201, 305, 787

RHSA: 2026:2994