Debian DSA-2897-1:tomcat7 - 安全更新
high Nessus 插件 ID 73421
语言:
简介
远程 Debian 主机缺少与安全相关的更新。描述
在 Tomcat servlet 和 JSP 引擎中发现多个安全问题:- CVE-2013-2067 FORM 认证将最近需要认证的请求与当前会话相关联。通过在受害者填写登录表单时重复发送对认证资源的请求,攻击者可注入将会使用受害者的凭据执行的请求。
- CVE-2013-2071 AsyncListener.onComplete() 中的运行时异常阻止回收请求。这可能将以前请求的元素暴露给当前请求。
- CVE-2013-4286 使用分块编码时拒绝具有多个 Content-Length 标头或一个 Content-Length 标头的请求。
- CVE-2013-4322 当处理使用分块传输编码提交的请求时,Tomcat 忽略但不限制所包括的任何扩展。这允许客户端通过将无限数量的数据流向服务器来执行有限的拒绝服务。
- CVE-2014-0050 具有畸形 Content-Type 标头的多部分请求可能触发无限循环,从而造成拒绝服务。
解决方案
升级 tomcat7 程序包。对于稳定发行版本 (wheezy),已在版本 7.0.28-4+deb7u1 中修复这些问题。
另见
https://security-tracker.debian.org/tracker/CVE-2013-2067
https://security-tracker.debian.org/tracker/CVE-2013-2071
https://security-tracker.debian.org/tracker/CVE-2013-4286
https://security-tracker.debian.org/tracker/CVE-2013-4322
https://security-tracker.debian.org/tracker/CVE-2014-0050
插件详情
严重性: High
ID: 73421
文件名: debian_DSA-2897.nasl
版本: 1.9
类型: local
代理: unix
发布时间: 2014/4/9
最近更新时间: 2021/1/11
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:tomcat7, cpe:/o:debian:debian_linux:7.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
易利用性: No known exploits are available
补丁发布日期: 2014/4/8
参考资料信息
CVE: CVE-2013-2067, CVE-2013-2071, CVE-2013-4286, CVE-2013-4322, CVE-2014-0050
BID: 59798, 59799, 65400, 65767, 65773
DSA: 2897