Ubuntu 16.04 LTS：Tomcat 漏洞 (USN-4557-1)

critical Nessus 插件 ID 141092

语言：

简介

远程主机缺少一个或多个安全更新。

描述

远程 Ubuntu 16.04 LTS 主机上安装的程序包受到 USN-4557-1 公告中提及的多个漏洞的影响。

- 如果提供的用户名不存在，则 Apache Tomcat 9.0.0.M1 至 9.0.0.M9、8.5.0 至 8.5.4、8.0.0.RC1 至 8.0.36、7.0.0 至 7.0.70 以及 6.0.0 至 6.0.45 版本中的 Realm 实现不会处理提供的密码。这可能造成计时攻击判断出有效的用户名。请注意，默认配置包括可使该漏洞更难以利用的 LockOutRealm。
(CVE-2016-0762)

- 在 Apache Tomcat 9.0.0.M1 至 9.0.0.M9、8.5.0 至 8.5.4、8.0.0.RC1 至 8.0.36、7.0.0 至 7.0.70 以及 6.0.0 至 6.0.45 版本中，恶意 Web 应用程序可以通过 Tomcat 实用工具方式（可访问 Web 应用程序），绕过已配置的 SecurityManager。(CVE-2016-5018)

- 配置 SecurityManager 时，Web 应用程序读取系统属性的能力应该受到 SecurityManager 的控制。在 Apache Tomcat 9.0.0.M1 至 9.0.0.M9、8.5.0 至 8.5.4、8.0.0.RC1 至 8.0.36、7.0.0 至 7.0.70 以及 6.0.0 至 6.0.45 版本中，恶意 Web 应用程序可使用配置文件的 Tomcat 系统属性替换功能，绕过 SecurityManager 并读取不可见的系统属性。(CVE-2016-6794)

- 运行在 Apache Tomcat 9.0.0.M1 至 9.0.0.M9、8.5.0 至 8.5.4、8.0.0.RC1 至 8.0.36、7.0.0 至 7.0.70 以及 6.0.0 至 6.0.45 版本上的恶意 Web 应用程序，可通过操作 JSP Servlet 的配置参数，绕过已配置的 SecurityManager。(CVE-2016-6796)

- 在 Apache Tomcat 9.0.0.M1 至 9.0.0.M9、8.5.0 至 8.5.4、8.0.0.RC1 至 8.0.36、7.0.0 至 7.0.70 以及 6.0.0 至 6.0.45 版本中，ResourceLinkFactory 实现未将 Web 应用程序对全局 JNDI 资源的访问限制为明确链接至 Web 应用程序的资源。因此，Web 应用程序可能会访问任何全局 JNDI 资源，无论是否已配置明确的 ResourceLink。(CVE-2016-6797)

- Apache Tomcat 9.0.0.M1 至 9.0.0.M11、8.5.0 至 8.5.6、8.0.0.RC1 至 8.0.38、7.0.0 至 7.0.72 和 6.0.0 至 6.0.47 版本中用于解析 HTTP 请求行的代码允许使用无效字符。可利用此缺陷，通过与同样允许无效字符但解释不同的代理结合，将数据注入 HTTP 响应。通过操控 HTTP 响应，攻击者可侵害 Web 缓存、执行 XSS 攻击和/或从非自身请求获得敏感信息。(CVE-2016-6816)

如果使用了 JmxRemoteLifecycleListener，则在 Apache Tomcat 6.0.48 之前、7.0.73 之前的 7.x、8.0.39 之前的 8.x、8.5.7 之前的 8.5.x 以及 9.0.0.M12 之前的 9.x 的版本中可能允许远程代码执行，并且攻击者可以访问 JMX 端口。存在此问题的原因是，未更新此侦听器，以与影响凭据类型的 CVE-2016-3427 Oracle 补丁保持一致。(CVE-2016-8735)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号。