Amazon Linux 2 : tomcat (ALAS-2020-1402)

critical Nessus 插件 ID 134569

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

在使用带有 WebSocket 客户端的 TLS 时,缺少主机名称验证。默认启用这些项。受影响的版本:Apache Tomcat 9.0.0.M1 至 9.0.9、8.5.0 至 8.5.31、8.0.0.RC1 至 8.0.52 和 7.0.35 至 7.0.88。(CVE-2018-8034) 完全映射至环境 root 的 ''(空白字符串)的 URL 模式在 Apache Tomcat 9.0.0.M1 至 9.0.4、8.5.0 至 8.5.27、8.0.0.RC1 至 8.0.49 以及 7.0.0 至 7.0.84 中用作安全限制定义的一部分时未得到正确处理。这会造成限制被忽略。因此未经授权的用户可访问应该受到保护的 Web 应用程序资源。只有具有空白字符串之 URL 模式的安全限制会受到影响。(CVE-2018-1304) 由 Apache Tomcat 9.0.0.M1 至 9.0.4、8.5.0 至 8.5.27、8.0.0.RC1 至 8.0.49 以及 7.0.0 至 7.0.84 中的 Servlet 注释定义的安全限制,仅在加载 Servlet 后才会应用。以此方式定义的安全限制会应用到 URL 模式以及该点之下的任何 URL,因此可能会根据加载 Servlet 的顺序,而没有应用部分安全限制。这可能导致向未获访问权限的用户泄漏资源。(CVE-2018-1305) Apache Tomcat 9.0.0.M1 至 9.0.8、8.5.0 至 8.5.31、8.0.0.RC1 至 8.0.52、7.0.41 至 7.0.88 中提供的 CORS 筛选器默认设置是不安全的,并为所有源启用 'supportsCredentials'。预计 CORS 筛选器用户将根据环境对其进行适当配置,而不是使用默认配置。因此,预计大部分用户不会受到此问题的影响。(CVE-2018-8014) 当使用 Apache JServ Protocol (AJP) 时,当信任 Apache Tomcat 的传入连接时必须谨慎。Tomcat 将 AJP 连接视为比类似的 HTTP 连接(例如)具有更高的信任度。如果攻击者可使用此类连接,则他们会以惊人的方式利用此类连接。在 Apache Tomcat 9.0.0.M1 至 9.0.0.30、8.5.0 至 8.5.50 以及 7.0.0 至 7.0.99,配置有 AJP 连接器的 AJP 默认启用,该连接器侦听所有配置的 IP 地址。预期(安全指南中建议)此连接器将在不需要的时候禁用。此漏洞报告确定了允许以下内容的一种机制: - 从 web 应用程序中任意位置返回任意文件 - 作为 JSP 处理 web 应用程序中的任意文件。并且,如果 web 应用程序允许文件上传并在 web 应用程序中存储这些文件(或攻击者能够通过某些其他方式控制 web 应用程序的内容),则结合作为 JSP 处理文件的能力,共同使远程代码执行成为可能。注意仅当 AJP 端口可供不受信任的用户访问时才需要缓解,这一点很重要。希望采取深度防御方式并阻止允许返回任意文件并作为 JSP 执行之向量的用户可能会升级至 Apache Tomcat 9.0.31、8.5.51 或 7.0.100 或更高版本。9.0.31 中的默认 AJP 连接器配置做出许多更改,以强化默认配置。升级至 9.0.31、8.5.51 或 7.0.100 或更高版本的用户好像需要对其配置做出细微更改。(CVE-2020-1938) 作为此 CVE 修复的一部分,我们在默认配置中禁用 Tomcat 2019 AJP 连接器,与上游更改保持一致。此更改将要求使用默认 Tomcat 配置(AJP 连接器之前已启用)的客户在需要时明确重新启用连接器。同样需要注意的是,没有配置明确地址的连接器将仅绑定至环回地址。有关来自更新 tomcat8 和 tomcat7 前后的 netstat 输出,示例如下(请注意具有 tomcat7 和 tomcat8 的 AL1 和 AL2 上是一样的)AL2 tomcat8.5 : before : tcp6 0 0 :::8009 :::* LISTEN 25772/java tcp6 0 0 :::8080 :::* LISTEN 25772/java tcp6 0 0 127.0.0.1:8005 :::* LISTEN 25772/java After : tcp6 0 0 :::8080 :::* LISTEN 25772/java tcp6 0 0 127.0.0.1:8005 :::* LISTEN 25772/java 若要重新启用 Tomcat 中的 AJP 端口,用户可以遵循下列步骤:1) 对于 AL2 Core (tomcat7):取消注释 /etc/tomcat/server.xml 中的下列行,并重新开始服务 <!-- <Connector port='8009' protocol='AJP/1.3' redirectPort='8443' /> --> 2) 对于 AL2 Tomcat8.5 extra:取消注释 /etc/tomcat/server.xml 中的下列行,并重新开始服务 <!-- <Connector protocol='AJP/1.3' address='::1' port='8009' redirectPort='8443' /> --> 同时参见:Apache Tomcat 发行说明 Tomcat 7 <a href='http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_ 8.5.51'>Tomcat 8 RedHat <a href='https://access.redhat.com/solutions/4851251'> 解决方案

解决方案

运行 'yum update tomcat' 以更新系统。

另见

http://www.nessus.org/u?177285c3

https://alas.aws.amazon.com/AL2/ALAS-2020-1402.html

插件详情

严重性: Critical

ID: 134569

文件名: al2_ALAS-2020-1402.nasl

版本: 1.4

类型: local

代理: unix

发布时间: 2020/3/16

最近更新时间: 2022/3/8

支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent

风险信息

VPR

风险因素: High

分数: 8.4

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: AV:N/AC:L/Au:N/C:P/I:P/A:P

时间矢量: E:H/RL:OF/RC:C

CVSS 分数来源: CVE-2020-1938

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 9.4

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: E:H/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:amazon:linux:tomcat, p-cpe:/a:amazon:linux:tomcat-admin-webapps, p-cpe:/a:amazon:linux:tomcat-docs-webapp, p-cpe:/a:amazon:linux:tomcat-el-2.2-api, p-cpe:/a:amazon:linux:tomcat-javadoc, p-cpe:/a:amazon:linux:tomcat-jsp-2.2-api, p-cpe:/a:amazon:linux:tomcat-jsvc, p-cpe:/a:amazon:linux:tomcat-lib, p-cpe:/a:amazon:linux:tomcat-servlet-3.0-api, p-cpe:/a:amazon:linux:tomcat-webapps, cpe:/o:amazon:linux:2

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2020/3/13

漏洞发布日期: 2018/2/23

CISA 已知利用日期: 2022/3/17

参考资料信息

CVE: CVE-2018-1304, CVE-2018-1305, CVE-2018-8014, CVE-2018-8034, CVE-2020-1938

ALAS: 2020-1402