RHEL 7 / 8 : Red Hat JBoss Core Services Apache HTTP Server 2.4.62 SP4 (RHSA-2026:27200)

high Nessus プラグイン ID 321959

概要

リモートの Red Hat ホストに、Red Hat JBoss Core Services Apache HTTP Server 2.4.62 SP4 用の 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモート Redhat Enterprise Linux 7 / 8 ホストに、RHSA-2026:27200 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

Red Hat JBoss Core Services は、Red Hat JBoss ミドルウェア製品の補足ソフトウェアのセットです。Apache HTTP Server などのこのソフトウェアは複数の JBoss ミドルウェア製品に共通であり、Red Hat JBoss Core Services としてパッケージ化され、更新プログラムの迅速な配信やより一貫した更新が可能です。

Red Hat JBoss Core Services Apache HTTP Server 2.4.62 Service Pack 4のこのリリースは、Red Hat JBoss Core Services Apache HTTP Server 2.4.62 Service Pack 3の置き換えとして機能し、「参照」セクションでリンクされているリリースノートに記載されているバグ修正と拡張機能が含まれています。

セキュリティ修正プログラム:

* jbcs-httpd24-httpd:Apache HTTP Server mod_proxy_ajp:ヒープベースのバッファオーバーフローによる任意のコードの実行(CVE-2026-28780)
* jbcs-httpd24-httpd:HTTP/2:圧縮爆弾および Slowloris スタイル攻撃によるリモートのサービス拒否(CVE-2026-49975)
* jbcs-httpd24-mod_http2:HTTP/2:圧縮爆弾と Slowloris スタイル攻撃によるリモートのサービス拒否(CVE-2026-49975)
* mod_proxy_ajp.so:NULL 終端チェックがないことによるヒープベースのバッファオーバーリード(CVE-2026-34032)
* mod_proxy_ajp.so:ajp_parse_data() におけるヒープベースのバッファオーバーリードとメモリ漏洩(CVE-2026-34059)
* mod_authn_socache.so:NULL ポインターデリファレンスにより、子プロセスのクラッシュが発生する可能性があります(CVE-2026-33007)
* mod_proxy_ajp.so:AJP getter 関数での off-by-one による領域外読み取り(CVE-2026-33857)
* mod_dav_lock.so:特別に細工されたリクエストによる NULL ポインターデリファレンス(CVE-2026-29169)
* jbcs-httpd24-mod_md:無制限のOCSP応答がリソース枯渇につながる(CVE-2026-29168)
* jbcs-httpd24-httpd:Apache HTTP サーバー:メモリ増加による HTTP/2 DoS(CVE-2025-53020)
* nghttp2: nghttp2: セッション終了後の不正な形式の HTTP/2 フレームによるサービス拒否 (CVE-2026-27135)

この欠陥に関する詳細を記載した Red Hat セキュリティ報告書は、[参考資料] セクションから入手できます。

影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVe のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

RHEL Red Hat JBoss Core Services Apache HTTP Server 2.4.62 SP4 パッケージを RHSA-2026:27200 のガイダンスに基づいて更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2026:27200

https://access.redhat.com/security/updates/classification/#important

https://bugzilla.redhat.com/show_bug.cgi?id=2379343

https://bugzilla.redhat.com/show_bug.cgi?id=2448754

https://bugzilla.redhat.com/show_bug.cgi?id=2464940

https://bugzilla.redhat.com/show_bug.cgi?id=2464952

https://bugzilla.redhat.com/show_bug.cgi?id=2464953

https://bugzilla.redhat.com/show_bug.cgi?id=2465296

https://bugzilla.redhat.com/show_bug.cgi?id=2465299

https://bugzilla.redhat.com/show_bug.cgi?id=2466753

https://bugzilla.redhat.com/show_bug.cgi?id=2466913

https://bugzilla.redhat.com/show_bug.cgi?id=2485371

http://www.nessus.org/u?4f434575

http://www.nessus.org/u?5a67f10b

プラグインの詳細

深刻度: High

ID: 321959

ファイル名: redhat-RHSA-2026-27200.nasl

バージョン: 1.2

タイプ: Local

エージェント: unix

公開日: 2026/6/22

更新日: 2026/7/3

サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6

パーセンタイル: 96.69

Vendor

Vendor Severity: Important

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 6.1

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS スコアのソース: CVE-2026-49975

CVSS v3

リスクファクター: High

基本値: 8.1

現状値: 7.3

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2026-28780

CVSS v4

リスクファクター: High

Base Score: 8.7

Threat Score: 7.7

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-nghttp2, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_proxy_html, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-nghttp2-devel, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_ldap, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-selinux, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_md, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_ssl, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-manual, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-tools, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_http2, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-devel, cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_session

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/6/22

脆弱性公開日: 2025/7/8

参照情報

CVE: CVE-2025-53020, CVE-2026-27135, CVE-2026-28780, CVE-2026-29168, CVE-2026-29169, CVE-2026-33007, CVE-2026-33857, CVE-2026-34032, CVE-2026-34059, CVE-2026-49975

CWE: 125, 126, 170, 401, 409, 476, 617, 770, 787

RHSA: 2026:27200