检测

插件

RHEL 8：Red Hat JBoss Enterprise Application Platform 8.1.6 (RHSA-2026:18054)

critical Nessus 插件 ID 315192

语言：

简介

远程 Red Hat 主机缺少 Red Hat JBoss Enterprise Application Platform 8.1.6 的一个或多个安全更新。

描述

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2026:18054 公告中提及的多个漏洞的影响。

Red Hat JBoss Enterprise Application Platform 8 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 8.1.6 版本可替换 Red Hat JBoss Enterprise Application Platform 8.1.5，并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 8.1.6 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

安全修复：

* bcprov-jdk18on: GOSTCTR 实现无法正确处理数量超过 255 个的区块（CVE-2025-14813）

* bouncycastle: BC-JAVA: GOSTCTR 实现无法正确处理数量超过 255 个的区块（CVE-2025-14813）

* bouncycastle: BC-JAVA：不受限制的 PGP AEAD 区块大小导致预认证资源耗尽（CVE-2026-3505）

* bouncycastle: BC-JAVA：PKIX 草案 CompositeVerifier 将空签名序列接受为有效（CVE-2026-5588）

* bcprov-ext-jdk15on：LDAPStoreHelper.java 中的 LDAP 注入漏洞（CVE-2026-0636）

* bcprov-jdk12：非恒定时间比较导致私钥泄露（CVE-2026-5598）

* netty-codec-http: Netty：通过 HTTP/2 CONTINUATION 帧洪流造成的拒绝服务（CVE-2026-33871）

* netty-codec-http: Netty：通过错误解析 HTTP/1.1 分块传输编码扩展值导致请求走私（CVE-2026-33870）

* artemis-server: Apache Artemis、Apache ActiveMQ Artemis：由于缺少身份验证而导致的消息注入和外泄（CVE-2026-27446）

* org.hibernate.orm/hibernate-c3p0: c3p0：通过反序列化所构建对象来执行任意代码 [（CVE-2026-27830）

* org.keycloak-keycloak-parent: Minimatch：通过 glob 表达式中的灾难性回溯造成拒绝服务 (CVE-2026-27904)

* mchange-commons-java: mchange-commons-java：通过所构建对象的 JNDI 取消引用来执行任意代码 (CVE-2026-27727)

* io.hawt-project: minimatch：通过特别构建的 glob 模式导致的拒绝服务 (CVE-2026-26996)

* wildfly-elytron-integration：通过 CLI 进行的 Wildfly Elytron 暴力攻击（CVE-2025-23368）

有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

依据 RHSA-2026:18054 中的指南更新 RHEL Red Hat JBoss Enterprise Application Platform 8.1.6 程序包。

另见

https://issues.redhat.com/browse/JBEAP-31868

https://issues.redhat.com/browse/JBEAP-31874

https://issues.redhat.com/browse/JBEAP-32025

https://issues.redhat.com/browse/JBEAP-32028

https://issues.redhat.com/browse/JBEAP-32064

https://issues.redhat.com/browse/JBEAP-32074

https://issues.redhat.com/browse/JBEAP-32078

https://issues.redhat.com/browse/JBEAP-32084

https://issues.redhat.com/browse/JBEAP-32123

https://issues.redhat.com/browse/JBEAP-32209

https://issues.redhat.com/browse/JBEAP-32212

https://issues.redhat.com/browse/JBEAP-32266

https://issues.redhat.com/browse/JBEAP-32293

https://issues.redhat.com/browse/JBEAP-32295

https://issues.redhat.com/browse/JBEAP-32339

https://issues.redhat.com/browse/JBEAP-32350

https://issues.redhat.com/browse/JBEAP-32415

https://issues.redhat.com/browse/JBEAP-32481

https://issues.redhat.com/browse/JBEAP-32486

https://issues.redhat.com/browse/JBEAP-32544

https://issues.redhat.com/browse/JBEAP-32601

https://issues.redhat.com/browse/JBEAP-32687

https://issues.redhat.com/browse/JBEAP-32755

https://issues.redhat.com/browse/JBEAP-32773

http://www.nessus.org/u?bf594d56

https://access.redhat.com/errata/RHSA-2026:18054

https://access.redhat.com/security/updates/classification/#important

http://www.nessus.org/u?4f7c1c91

http://www.nessus.org/u?29b6d808

http://www.nessus.org/u?64dafeb0

https://access.redhat.com/articles/7134190

https://bugzilla.redhat.com/show_bug.cgi?id=2337621

https://bugzilla.redhat.com/show_bug.cgi?id=2441268

https://bugzilla.redhat.com/show_bug.cgi?id=2442671

https://bugzilla.redhat.com/show_bug.cgi?id=2442908

https://bugzilla.redhat.com/show_bug.cgi?id=2442922

https://bugzilla.redhat.com/show_bug.cgi?id=2444320

https://bugzilla.redhat.com/show_bug.cgi?id=2452453

https://bugzilla.redhat.com/show_bug.cgi?id=2452456

https://bugzilla.redhat.com/show_bug.cgi?id=2458634

https://bugzilla.redhat.com/show_bug.cgi?id=2458635

https://bugzilla.redhat.com/show_bug.cgi?id=2458638

https://bugzilla.redhat.com/show_bug.cgi?id=2458640

https://bugzilla.redhat.com/show_bug.cgi?id=2458641

https://issues.redhat.com/browse/JBEAP-29032

https://issues.redhat.com/browse/JBEAP-31314

https://issues.redhat.com/browse/JBEAP-31468

插件详情

严重性: Critical

ID: 315192

文件名: redhat-RHSA-2026-18054.nasl

版本: 1.1

类型: Local

代理: unix

系列: Red Hat Local Security Checks

发布时间: 2026/5/18

最近更新时间: 2026/5/18

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: High

分数: 7.3

Vendor

Vendor Severity: Important

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2026-27727

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

风险因素: Critical

Base Score: 9.9

Threat Score: 9.2

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N

CVSS 分数来源: CVE-2026-5598

漏洞信息

CPE: cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:redhat:enterprise_linux:eap8-wildfly, p-cpe:/a:redhat:enterprise_linux:eap8-wildfly-java-jdk17, p-cpe:/a:redhat:enterprise_linux:eap8-wildfly-modules, p-cpe:/a:redhat:enterprise_linux:eap8-activemq-artemis, p-cpe:/a:redhat:enterprise_linux:eap8-activemq-artemis-cli, p-cpe:/a:redhat:enterprise_linux:eap8-activemq-artemis-commons, p-cpe:/a:redhat:enterprise_linux:eap8-activemq-artemis-core-client, p-cpe:/a:redhat:enterprise_linux:eap8-activemq-artemis-dto, p-cpe:/a:redhat:enterprise_linux:eap8-activemq-artemis-hornetq-protocol, p-cpe:/a:redhat:enterprise_linux:eap8-activemq-artemis-hqclient-protocol, p-cpe:/a:redhat:enterprise_linux:eap8-activemq-artemis-jakarta-client, p-cpe:/a:redhat:enterprise_linux:eap8-activemq-artemis-jakarta-ra, p-cpe:/a:redhat:enterprise_linux:eap8-activemq-artemis-jakarta-server, p-cpe:/a:redhat:enterprise_linux:eap8-activemq-artemis-jakarta-service-extensions, p-cpe:/a:redhat:enterprise_linux:eap8-activemq-artemis-jdbc-store, p-cpe:/a:redhat:enterprise_linux:eap8-activemq-artemis-journal, p-cpe:/a:redhat:enterprise_linux:eap8-activemq-artemis-selector, p-cpe:/a:redhat:enterprise_linux:eap8-activemq-artemis-server, p-cpe:/a:redhat:enterprise_linux:eap8-hal-console, p-cpe:/a:redhat:enterprise_linux:eap8-hibernate, p-cpe:/a:redhat:enterprise_linux:eap8-hibernate-core, p-cpe:/a:redhat:enterprise_linux:eap8-hibernate-envers, p-cpe:/a:redhat:enterprise_linux:eap8-netty, p-cpe:/a:redhat:enterprise_linux:eap8-netty-buffer, p-cpe:/a:redhat:enterprise_linux:eap8-netty-codec, p-cpe:/a:redhat:enterprise_linux:eap8-netty-codec-dns, p-cpe:/a:redhat:enterprise_linux:eap8-netty-codec-http, p-cpe:/a:redhat:enterprise_linux:eap8-netty-codec-socks, p-cpe:/a:redhat:enterprise_linux:eap8-netty-common, p-cpe:/a:redhat:enterprise_linux:eap8-netty-handler, p-cpe:/a:redhat:enterprise_linux:eap8-netty-handler-proxy, p-cpe:/a:redhat:enterprise_linux:eap8-netty-resolver, p-cpe:/a:redhat:enterprise_linux:eap8-netty-resolver-dns, p-cpe:/a:redhat:enterprise_linux:eap8-netty-transport, p-cpe:/a:redhat:enterprise_linux:eap8-netty-transport-classes-epoll, p-cpe:/a:redhat:enterprise_linux:eap8-netty-transport-native-epoll, p-cpe:/a:redhat:enterprise_linux:eap8-netty-transport-native-unix-common, p-cpe:/a:redhat:enterprise_linux:eap8-bouncycastle, p-cpe:/a:redhat:enterprise_linux:eap8-bouncycastle-jmail, p-cpe:/a:redhat:enterprise_linux:eap8-bouncycastle-pg, p-cpe:/a:redhat:enterprise_linux:eap8-bouncycastle-pkix, p-cpe:/a:redhat:enterprise_linux:eap8-bouncycastle-prov, p-cpe:/a:redhat:enterprise_linux:eap8-bouncycastle-util, p-cpe:/a:redhat:enterprise_linux:eap8-wildfly-java-jdk21

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2026/5/18

漏洞发布日期: 2025/3/4

参考资料信息

CVE: CVE-2025-14813, CVE-2025-23368, CVE-2026-0636, CVE-2026-26996, CVE-2026-27446, CVE-2026-27727, CVE-2026-27830, CVE-2026-27904, CVE-2026-33870, CVE-2026-33871, CVE-2026-3505, CVE-2026-5588, CVE-2026-5598

CWE: 1333, 306, 307, 327, 347, 385, 444, 502, 770, 90

RHSA: 2026:18054