Debian DSA-5265-1:tomcat9 - 安全更新
high Nessus 插件 ID 166706
语言:
简介
远程 Debian 主机上缺少一个或多个与安全性相关的更新。描述
远程 Debian 11 主机上安装的多个程序包受到 dsa-5265 公告中提及的多个漏洞影响。- 当使用 Apache Tomcat 版本 10.0.0-M1 到 10.0.0-M4、 9.0.0.M1 到 9.0.34、8.5.0 到 8.5.54 以及 7.0.0 到 7.0.103 时,如果出现以下情况:a) 攻击者能够控制服务器上文件的内容和名称;b) 服务器配置为将 PersistenceManager 与 FileStore 一起使用;c) 为 PersistenceManager 配置了 sessionAttributeValueClassNameFilter=null(未使用 SecurityManager 时,此为默认值)或者不太严格的过滤器,允许对攻击者提供的对象进行反序列化;d) 攻击者知道从 FileStore 使用的存储位置到其控制的文件的相对文件路径,则在使用特别构建的请求的情况下,该攻击者将能够通过反序列化其控制的文件来触发远程代码执行。请注意,从 a) 到 d) 的所有条件都必须为真,攻击才能成功。(CVE-2020-9484)
- Tomcat 10 中引入并向后移植到 Tomcat 9.0.47 之后版本的对于阻止读取和写入的简化实现暴露出 Apache Tomcat 10.1.0 至 10.1.0-M12、10.0.0-M1 至 10.0.18、 9.0.0-M1 至 9.0.60 和 8.5.0 至 8.5.77 中一个长期存在(但极难触发)的并发缺陷,该缺陷可导致客户端连接共享 Http11Processor 实例,从而造成由错误客户端接收的响应或部分响应。(CVE-2021-43980)
- 针对缺陷 CVE-2020-9484 的补丁在 Apache Tomcat 10.1.0-M1 至 10.1.0-M8 版、10.0.0-M5 至 10.0.14 版、 9.0.35 至 9.0.56 版和 8.5.55 至 8.5.73 版中引入了时间检查、时间使用漏洞,进而允许本地攻击者以 Tomcat 进程所使用的用户权限执行操作。仅当 Tomcat 配置为使用 FileStore 持久性会话时,才可恶意利用此问题。(CVE-2022-23181)
- EncryptInterceptor 的 Apache Tomcat 10.1.0-M1 至 10.1.0-M14、10.0.0-M1 至 10.0.20、 9.0.13 至 9.0.62 和 8.5.38 至 8.5.78 版本的文档错误地声明其启用了 Tomcat 群集以溢出不受信任的网络。此说法不正确。尽管 EncryptInterceptor 确实提供了机密性和完整性保护,但并不能防范与在任何不受信任的网络上运行相关的所有风险,尤其是 DoS 风险。 (CVE-2022-29885)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级 tomcat9 程序包。对于稳定发行版本 (bullseye),已在版本 9.0.43-2~deb11u4 中修复这些问题。
另见
https://security-tracker.debian.org/tracker/source-package/tomcat9
https://www.debian.org/security/2022/dsa-5265
https://security-tracker.debian.org/tracker/CVE-2020-9484
https://security-tracker.debian.org/tracker/CVE-2021-43980
https://security-tracker.debian.org/tracker/CVE-2022-23181
插件详情
严重性: High
ID: 166706
文件名: debian_DSA-5265.nasl
版本: 1.6
类型: local
代理: unix
发布时间: 2022/10/30
最近更新时间: 2023/10/6
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Medium
基本分数: 4.4
时间分数: 3.6
矢量: CVSS2#AV:L/AC:M/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2020-9484
CVSS v3
风险因素: High
基本分数: 7
时间分数: 6.5
矢量: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:F/RL:O/RC:C
CVSS 分数来源: CVE-2022-23181
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:libtomcat9-embed-java, p-cpe:/a:debian:debian_linux:libtomcat9-java, p-cpe:/a:debian:debian_linux:tomcat9, p-cpe:/a:debian:debian_linux:tomcat9-admin, p-cpe:/a:debian:debian_linux:tomcat9-common, p-cpe:/a:debian:debian_linux:tomcat9-docs, p-cpe:/a:debian:debian_linux:tomcat9-examples, p-cpe:/a:debian:debian_linux:tomcat9-user, cpe:/o:debian:debian_linux:11.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可利用: true
易利用性: Exploits are available
补丁发布日期: 2022/10/29
漏洞发布日期: 2020/5/20
参考资料信息
CVE: CVE-2020-9484, CVE-2021-43980, CVE-2022-23181, CVE-2022-29885
IAVA: 2020-A-0225-S, 2022-A-0222-S