Oracle Linux 8 : httpd:2.4 (ELSA-2026-25090)
high Nessus プラグイン ID 321487
Language:
概要
リモートの Oracle Linux ホストにセキュリティ更新プログラムがありません。説明
リモートの Oracle Linux 8 ホストに、ELSA-2026-25090 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。- 解決: RHEL-173558 - httpd:2.4/httpd:Apache HTTP Server mod_proxy_ajp:
ヒープベースのバッファオーバーフローによる任意のコードの実行(CVE-2026-28780)
- 解決: RHEL-175074 - httpd:2.4/httpd:NULL ポインターデリファレンスにより、子プロセスがクラッシュする可能性があります(CVE-2026-33007)
- 解決: RHEL-175088 - httpd:2.4/httpd:AJP getter 関数の off-by-one 領域外読み取り(CVE-2026-33857)
- 解決: RHEL-175620 - httpd:2.4/httpd:特別に細工されたリクエストによる NULL ポインターデリファレンス(CVE-2026-29169)
- 解決: RHEL-175055 - httpd:ajp_parse_data() におけるヒープベースのバッファオーバーリードおよびメモリ漏洩(CVE-2026-34059)
- 解決: RHEL-135054 - httpd:Apache HTTP Server:AllowOverride FileInfo を介した mod_userdir+suexec バイパス(CVE-2025-66200)
- 解決: RHEL-135039 - httpd:Apache HTTP Server:CGI 環境変数オーバーライド(CVE-2025-65082)
- 解決: RHEL-134471 - httpd:Apache HTTP サーバー:サーバー側には、クエリ文字列を #exec cmd=... に追加します。(CVE-2025-58098)
- 解決: RHEL-127073 - mod_ssl:より精密な SSL SNI vhost チェックを許可し、 CVE-2025-23048 修正後の不要な 421 エラーを回避します
- 解決: RHEL-99944 - CVE-2025-49812 httpd:TLSアップグレードによるHTTPセッションハイジャック
- 解決: RHEL-99969 - CVE-2024-47252 httpd:mod_ssl でのユーザー指定のデータのエスケープが不十分
- 解決: RHEL-99961 - CVE-2025-23048 httpd:TLS 1.3 セッション再開を使用すると、信頼できるクライアントによるアクセスコントロールのバイパスが可能になります
- 解決: RHEL-46040 - httpd:2.4/httpd:応答ヘッダーが悪意あるか悪用可能なバックエンドアプリケーションによるセキュリティ問題(CVE-2024-38476)
- 解決: RHEL-53022 - CVE-2024-38474 修正によってもたらされた回帰
- 解決: RHEL-45812 - httpd:2.4/httpd:mod_rewrite における置換エンコーディングの問題(CVE-2024-38474)
- 解決: RHEL-45785 - httpd:2.4/httpd:mod_proxy のエンコーディングの問題(CVE-2024-38473)
- 解決: RHEL-45777 - httpd:2.4/httpd:mod_rewrite における出力の不適切なエスケープ(CVE-2024-38475)
- 解決: RHEL-45758 - httpd:2.4/httpd:mod_proxy における NULL ポインターデリファレンス(CVE-2024-38477)
- 解決: RHEL-45743 - httpd:2.4/httpd:mod_rewrite における潜在的な SSRF(CVE-2024-39573)
- 解決: RHEL-31857 - httpd:2.4/httpd:HTTP応答分割(CVE-2023-38709)
mod_http2
- 解決: RHEL-182418 - mod_http2:HTTP/2:圧縮爆弾および Slowloris スタイル攻撃によるリモートのサービス拒否(CVE-2026-49975)
- 解決: RHEL-166277 - httpd:2.4/httpd: Apache HTTP Server: HTTP/2 のメモリ増加による DoS (CVE-2025-53020)
- 解決: RHEL-105186 - httpd:2.4/httpd:クライアントからの信頼されない入力により、Apache mod_proxy_http2 モジュールでアサーションが失敗します(CVE-2025-49630)
- 解決: RHEL-58454 - CVE-2024-38477 修正後の失敗をmod_proxy_http2
- 解決: RHEL-29817 - httpd:2.4/mod_http2: httpd: CONTINUATION フレームの DoS (CVE-2024-27316)
- 解決: RHEL-13367 - httpd:2.4/mod_http2: リセットリクエストがメモリを消費します (CVE-2023-44487 の不完全な修正) (CVE-2023-45802)
- 解決: #2177748 - CVE-2023-25690 httpd:2.4/httpd: mod_rewrite および mod_proxy による HTTP リクエスト分割
- 解決: RHEL-134487 - httpd:2.4/httpd:Apache HTTP Server:mod_md(ACME)、意図しない再試行間隔(CVE-2025-55753)
Tenable は、前述の記述ブロックを Oracle Linux セキュリティアドバイザリから直接抽出しています。
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 321487
ファイル名: oraclelinux_ELSA-2026-25090.nasl
バージョン: 1.2
タイプ: Local
エージェント: unix
公開日: 2026/6/18
更新日: 2026/6/19
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.1
CVSS v2
リスクファクター: High
基本値: 7.8
現状値: 6.1
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS スコアのソース: CVE-2026-49975
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
リスクファクター: High
Base Score: 8.7
Threat Score: 7.7
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
脆弱性情報
CPE: p-cpe:/a:oracle:linux:mod_md, p-cpe:/a:oracle:linux:httpd-devel, p-cpe:/a:oracle:linux:mod_session, p-cpe:/a:oracle:linux:httpd-filesystem, p-cpe:/a:oracle:linux:httpd-manual, p-cpe:/a:oracle:linux:mod_ldap, p-cpe:/a:oracle:linux:mod_proxy_html, cpe:/o:oracle:linux:8, p-cpe:/a:oracle:linux:mod_ssl, p-cpe:/a:oracle:linux:mod_http2, p-cpe:/a:oracle:linux:httpd, p-cpe:/a:oracle:linux:httpd-tools
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2026/6/17
脆弱性公開日: 2026/6/3
参照情報
CVE: CVE-2026-49975
IAVA: 2026-A-0558