Oracle Linux 10:tomcat (ELSA-2026-19054)

high Nessus 插件 ID 327070

简介

远程 Oracle Linux 主机缺少安全更新。

描述

远程 Oracle Linux 10 主机上安装的程序包受到 ELSA-2026-19054 公告中提及的漏洞的影响。

- 解决: RHEL-150719 由于不正确的 OCSP 响应验证,导致证书吊销绕过 (CVE-2026-24734)
- 解决了:RHEL-124493 tomcat:通过重写造成目录遍历并可能导致远程代码执行攻击 (RCE) (CVE-2025-55752)
- 解决了:RHEL-132560 tomcat:绕过 Rewrite Valve 中的规则 (CVE-2025-31651)
- 解决: RHEL-132526 tomcat:拒绝服务 (CVE-2025-61795)
- 解决: RHEL-102184 tomcat:通过 HTTP/2 控制框架 (CVE-2025-48989) 进行的 http/2“MadeYouReset”DoS 攻击
- 解决: RHEL-108906 tomcat:拒绝服务 (CVE-2025-52520)
- 解决了: RHEL-108900 tomcat:通过部分标头 (CVE-2025-48976) 造成的 Apache FileUpload DOS
- 解决了: RHEL-108902 tomcat:多部分上传 (CVE-2025-48988) 中的 Dos
- 解决了: RHEL-108904 tomcat:针对 pre/post-resources (CVE-2025-49125) 的安全限制绕过
- 解决: RHEL-108908 tomcat:拒绝服务 (CVE-2025-53506)
- 解决了:RHEL-82925 tomcat:部分 PUT 潜在的 RCE 和/或信息泄露和/或信息损坏问题 (CVE-2025-24813)
- 解决了:RHEL-87272 tomcat:示例 Web 应用程序中的 DoS 漏洞 (CVE-2024-54677)
- 解决了:RHEL-87273 tomcat:使用 Jakarta 身份验证 API 时的身份验证绕过漏洞 (CVE-2024-52316)

Tenable 已直接从 Oracle Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://linux.oracle.com/errata/ELSA-2026-19054.html

插件详情

严重性: High

ID: 327070

文件名: oraclelinux_ELSA-2026-19054.nasl

版本: 1.1

类型: Local

代理: unix

发布时间: 2026/7/15

最近更新时间: 2026/7/15

支持的传感器: Continuous Assessment, Frictionless Assessment Agent, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.7

百分位: 96.47

CVSS v2

风险因素: High

基本分数: 7.8

时间分数: 5.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N

CVSS 分数来源: CVE-2026-24734

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:oracle:linux:tomcat-admin-webapps, p-cpe:/a:oracle:linux:tomcat-el-5.0-api, p-cpe:/a:oracle:linux:tomcat-webapps, p-cpe:/a:oracle:linux:tomcat-jsp-3.1-api, p-cpe:/a:oracle:linux:tomcat-servlet-6.0-api, p-cpe:/a:oracle:linux:tomcat, p-cpe:/a:oracle:linux:tomcat-lib, p-cpe:/a:oracle:linux:tomcat-docs-webapp, cpe:/o:oracle:linux:10

必需的 KB 项: Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list, Host/local_checks_enabled

易利用性: No known exploits are available

补丁发布日期: 2026/7/8

漏洞发布日期: 2026/1/23

参考资料信息

CVE: CVE-2026-24734

IAVA: 2026-A-0175-S