Amazon Linux AMI : tomcat8 (ALAS-2020-1353)

critical Nessus 插件 ID 134575

简介

远程 Amazon Linux AMI 主机缺少安全更新。

描述

在 Apache Tomcat 9.0.0.M1 至 9.0.30、8.5.0 至 8.5.50 以及 7.0.0 至 7.0.99 中,解析代码的 HTTP 标头使用了一种行尾解析方法,该方法允许某些无效 HTTP 标头解析为有效。如果 Tomcat 位于反向代理后面,而反向代理以特定方式错误地处理了无效的传输编码标头,则可能导致 HTTP 请求走私。此种反向代理被认为是不可能的。(CVE-2020-1935) Apache Tomcat 9.0.28 至 9.0.30、8.5.48 至 8.5.50 以及 7.0.98 至 7.0.99 中存在的重构引入了回归。回归的结果便是无效传输编码标头被错误处理,如果 Tomcat 位于反向代理后面,而反向代理以特定方式错误地处理了无效的传输编码标头,则可能导致 HTTP 请求走私。此种反向代理被认为是不可能的。(CVE-2019-17569) 当使用 Apache JServ Protocol (AJP) 时,当信任 Apache Tomcat 的传入连接时必须谨慎。Tomcat 将 AJP 连接视为比类似的 HTTP 连接(例如)具有更高的信任度。如果攻击者可使用此类连接,则他们会以惊人的方式利用此类连接。在 Apache Tomcat 9.0.0.M1 至 9.0.0.30、8.5.0 至 8.5.50 以及 7.0.0 至 7.0.99,配置有 AJP 连接器的 AJP 默认启用,该连接器侦听所有配置的 IP 地址。预期(安全指南中建议)此连接器将在不需要的时候禁用。此漏洞报告确定了允许以下内容的一种机制: - 从 web 应用程序中任意位置返回任意文件 - 作为 JSP 处理 web 应用程序中的任意文件。并且,如果 web 应用程序允许文件上传并在 web 应用程序中存储这些文件(或攻击者能够通过某些其他方式控制 web 应用程序的内容),则结合作为 JSP 处理文件的能力,共同使远程代码执行成为可能。注意仅当 AJP 端口可供不受信任的用户访问时才需要缓解,这一点很重要。希望采取深度防御方式并阻止允许返回任意文件并作为 JSP 执行之向量的用户可能会升级至 Apache Tomcat 9.0.31、8.5.51 或 7.0.100 或更高版本。9.0.31 中的默认 AJP 连接器配置做出许多更改,以强化默认配置。升级至 9.0.31、8.5.51 或 7.0.100 或更高版本的用户好像需要对其配置做出细微更改。(CVE-2020-1938) 作为此 CVE 修复的一部分,我们在默认配置中禁用 Tomcat 2019 AJP 连接器,与上游更改保持一致。此更改将要求使用默认 Tomcat 配置(AJP 连接器之前已启用)的客户在需要时明确重新启用连接器。同样需要注意的是,没有配置明确地址的连接器将仅绑定至环回地址。有关来自更新 tomcat8 和 tomcat7 前后的 netstat 输出,示例如下(请注意具有 tomcat7 和 tomcat8 的 AL1 和 AL2 上是一样的)AL1 tomcat7 : before : tcp6 0 0 :::8009 :::* LISTEN 25772/java tcp6 0 0 :::8080 :::* LISTEN 25772/java tcp6 0 0 127.0.0.1:8005 :::* LISTEN 25772/java After : tcp6 0 0 :::8080 :::* LISTEN 25772/java tcp6 0 0 127.0.0.1:8005 :::* LISTEN 25772/java 若要重新启用 AL1 Tomcat 中的 AJP 端口,用户可以取消注释 /etc/tomcat{TOMCAT_VERSION}/server.xml 中的下列行,并重新开始服务:<!-- <Connector protocol='AJP/1.3' address='::1' port='8009' redirectPort='8443' /> -->同时参见:Apache Tomcat 发行说明 Tomcat 7 <a href='http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_ 8.5.51'>Tomcat 8 RedHat <a href='https://access.redhat.com/solutions/4851251'>解决方案

解决方案

运行 'yum update tomcat8' 以更新系统。

另见

http://www.nessus.org/u?177285c3

https://alas.aws.amazon.com/ALAS-2020-1353.html

插件详情

严重性: Critical

ID: 134575

文件名: ala_ALAS-2020-1353.nasl

版本: 1.4

类型: local

代理: unix

发布时间: 2020/3/16

最近更新时间: 2022/3/8

支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent

风险信息

CVSS 分数来源: CVE-2020-1938

VPR

风险因素: Critical

分数: 9.4

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: AV:N/AC:L/Au:N/C:P/I:P/A:P

时间矢量: E:H/RL:OF/RC:C

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 9.4

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: E:H/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:amazon:linux:tomcat8, p-cpe:/a:amazon:linux:tomcat8-admin-webapps, p-cpe:/a:amazon:linux:tomcat8-docs-webapp, p-cpe:/a:amazon:linux:tomcat8-el-3.0-api, p-cpe:/a:amazon:linux:tomcat8-javadoc, p-cpe:/a:amazon:linux:tomcat8-jsp-2.3-api, p-cpe:/a:amazon:linux:tomcat8-lib, p-cpe:/a:amazon:linux:tomcat8-log4j, p-cpe:/a:amazon:linux:tomcat8-servlet-3.1-api, p-cpe:/a:amazon:linux:tomcat8-webapps, cpe:/o:amazon:linux

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2020/3/13

漏洞发布日期: 2020/2/24

CISA 已知利用日期: 2022/3/17

参考资料信息

CVE: CVE-2019-17569, CVE-2020-1935, CVE-2020-1938

ALAS: 2020-1353