RHEL 7/8:Red Hat JBoss Core Services Apache HTTP Server 2.4.62 SP4 (RHSA-2026:27200)

high Nessus Plugin ID 321959

概要

遠端 Red Hat 主機缺少一個或多個 Red Hat JBoss Core Services Apache HTTP Server 2.4.62 SP4 安全性更新。

說明

遠端 Redhat Enterprise Linux 7/8 主機上安裝的套件受到 RHSA-2026:27200 公告中提及的多個弱點影響。

Red Hat JBoss Core Services 是一組適用於 Red Hat JBoss 中介軟體產品的補充軟體。此軟體 (如 Apache HTTP Server) 常用於多個 JBoss 中介軟體產品中,隨附於 Red Hat JBoss Core Services 中,能快速散發更新並提供更一致的更新體驗。

此版本的 Red Hat JBoss 核心服務 Apache HTTP 伺服器 2.4.62 Service Pack 4 可取代 Red Hat JBoss 核心服務 Apache HTTP 伺服器 2.4.62 Service Pack 3,並包含錯誤修正和增強功能,這些內容記載在「參照」一節中連結的版本資訊中。

安全性修正:

* jbcs-httpd24-httpd:Apache HTTP 伺服器 mod_proxy_ajp:透過堆積型緩衝區溢位 (CVE-2026-28780) 執行任意程式碼
* jbcs-httpd24-httpd: HTTP/2:透過壓縮炸彈和 Slowloris 式攻擊的遠端拒絕服務 (CVE-2026-49975)
* jbcs-httpd24-mod_http2: HTTP/2:透過壓縮炸彈和 Slowloris 式攻擊的遠端拒絕服務 (CVE-2026-49975)
* mod_proxy_ajp.so:由於缺少 null 終止檢查 () 而導致堆積型緩衝區過度讀取 (CVE-2026-34032)
* mod_proxy_ajp.so:ajp_parse_data() 中的堆積型緩衝區過度讀取和記憶體洩漏 (CVE-2026-34059)
* mod_authn_socache.so:NULL 指標解除參照可能會導致子處理程序損毀 (CVE-2026-33007)
* mod_proxy_ajp.so:AJP getter 函式 (CVE-2026-33857) 中的越界讀取差一
* mod_dav_lock.so:透過特製的要求 (CVE-2026-29169) 造成 NULL 指標解除參照
* jbcs-httpd24-mod_md:不受限制的 OCSP 回應會導致資源耗盡 (CVE-2026-29168)
* jbcs-httpd24-httpd:Apache HTTP 伺服器:HTTP/2 DoS (記憶體增加CVE-2025-53020)
* nghttp2: nghttp2:工作階段終止後,透過格式錯誤的 HTTP/2 框架造成的拒絕服務 (CVE-2026-27135)

請參閱〈參照〉一節,Red Hat 安全性公告提供有關此瑕疵的進一步詳細資訊。

如需安全性問題的詳細資料,包括影響、CVSS 評分、致謝及其他相關資訊,請參閱〈參照〉一節列出的 CVE 頁面。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

根據 RHSA-2026:27200 中的指引更新 RHEL Red Hat JBoss Core Services Apache HTTP Server 2.4.62 SP4 套件。

另請參閱

https://access.redhat.com/errata/RHSA-2026:27200

https://access.redhat.com/security/updates/classification/#important

https://bugzilla.redhat.com/show_bug.cgi?id=2379343

https://bugzilla.redhat.com/show_bug.cgi?id=2448754

https://bugzilla.redhat.com/show_bug.cgi?id=2464940

https://bugzilla.redhat.com/show_bug.cgi?id=2464952

https://bugzilla.redhat.com/show_bug.cgi?id=2464953

https://bugzilla.redhat.com/show_bug.cgi?id=2465296

https://bugzilla.redhat.com/show_bug.cgi?id=2465299

https://bugzilla.redhat.com/show_bug.cgi?id=2466753

https://bugzilla.redhat.com/show_bug.cgi?id=2466913

https://bugzilla.redhat.com/show_bug.cgi?id=2485371

http://www.nessus.org/u?4f434575

http://www.nessus.org/u?5a67f10b

Plugin 詳細資訊

嚴重性: High

ID: 321959

檔案名稱: redhat-RHSA-2026-27200.nasl

版本: 1.2

類型: Local

代理程式: unix

已發布: 2026/6/22

已更新: 2026/7/3

支援的感應器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6

百分位: 96.69

Vendor

Vendor Severity: Important

CVSS v2

風險因素: High

基本分數: 7.8

時間性分數: 6.1

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS 評分資料來源: CVE-2026-49975

CVSS v3

風險因素: High

基本分數: 8.1

時間性分數: 7.3

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

CVSS 評分資料來源: CVE-2026-28780

CVSS v4

風險因素: High

Base Score: 8.7

Threat Score: 7.7

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-nghttp2, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_proxy_html, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-nghttp2-devel, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_ldap, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-selinux, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_md, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_ssl, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-manual, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-tools, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_http2, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-devel, cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_session

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2026/6/22

弱點發布日期: 2025/7/8

參考資訊

CVE: CVE-2025-53020, CVE-2026-27135, CVE-2026-28780, CVE-2026-29168, CVE-2026-29169, CVE-2026-33007, CVE-2026-33857, CVE-2026-34032, CVE-2026-34059, CVE-2026-49975

CWE: 125, 126, 170, 401, 409, 476, 617, 770, 787

RHSA: 2026:27200