Red Hat JBoss EAP 8.1 重要安全更新公告 (RHSA-2026:18055)

RHSA-2026:18055 - 安全公告 漏洞概述 Red Hat JBoss Enterprise Application Platform 8.1 发布安全更新，修复了多个安全漏洞。Red Hat 安全团队将该更新评级为“重要（Important）”。 影响范围 受影响产品: Red Hat JBoss Enterprise Application Platform 8.1 for Red Hat Enterprise Linux 9 关键漏洞: CVE-2026-23368: WildFly Elytron Brute Force Attack via CLI (CLI 暴力攻击) CVE-2026-27904: minichat: Denial of Service via catastrophic backtracking in glob expressions (拒绝服务) CVE-2026-27830: c3p0: Arbitrary Code Execution via deserialization of crafted objects (任意代码执行) CVE-2026-33870: netty: Request smuggling via incorrect parsing of HTTP/1.1 chunked transfer encoding extension values (请求走私) CVE-2026-5588: bouncycastle: PKIX draft CompositeVerifier accepts empty signature sequence as valid (签名验证绕过) CVE-2026-3505: bouncycastle: unbounded PGP AEAD chunk size leads to pre-auth resource exhaustion (资源耗尽) CVE-2026-27446: artemis-server: Message injection and edit/delete due to missing authentication (消息注入/编辑/删除) CVE-2026-27727: mchange-commons-java: Arbitrary code execution via JNDI dereferencing of crafted objects (任意代码执行) CVE-2026-0636: bcpkix-jdk18on: LDAP injection vulnerability in LDAPStoreHelper.java (LDAP 注入) CVE-2026-5598: bcpkix-jdk12: private key leakage via non-constant time comparisons (私钥泄露) CVE-2025-14813: bcprov-jdk18on: GOSTCTR implementation unable to process more than 255 blocks correctly (处理错误) 修复方案 升级软件: 将 Red Hat JBoss Enterprise Application Platform 8.1 升级至包含修复补丁的版本。 具体修复组件: 升级 WildFly Elytron 至 2.5.0.Final-redhat-00001 升级 WildFly Http Client 至 2.1.4.Final-redhat-00001 升级 WildFly Core 至 27.1.7.Final-redhat-00001 升级 Hibernate ORM 至 6.6.4.Final-redhat-00001 升级 Artemis 至 2.40.0.redhat-00002 升级 netty 至 4.1.132.Final-redhat-00001 升级 bouncycastle 至 1.83.0.redhat-00001 操作建议**: 在应用更新前，请确保已应用所有相关的 errata，并备份现有安装（包括应用程序、配置文件、数据库和数据库设置）。

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Red Hat JBoss EAP 8.1 重要安全更新公告 (RHSA-2026:18055)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！