openSUSE 安全更新:tomcat (openSUSE-2016-384)

high Nessus 插件 ID 90136

简介

远程 openSUSE 主机缺少安全更新。

描述

此 tomcat 更新可修复下列问题:

Tomcat 8 已从 8.0.23 更新到 8.0.32,修复了缺陷和安全问题。

修复了安全问题:

- CVE-2015-5174:在 Apache Tomcat 的 RequestUtil.java 中发现一个目录遍历漏洞,其允许经认证的远程用户绕过预期 SecurityManager 限制,并通过 /.. 列出父目录
Web 应用程序在 getResource、getResourceAsStream 或 getResourcePaths 调用中使用的路径名称中的 /..(斜线点点),这一点已由 $CATALINA_BASE/webapps 目录证实。(bsc#967967)

- CVE-2015-5346:当不同的会话设置用于部署多个版本的相同 Web 应用程序时,Apache Tomcat 中的会话固定漏洞可能允许远程攻击者利用非预期请求的 requestedSessionSSL 字段,劫持 Web 会话,这与 CoyoteAdapter.java 和 Request.java 有关。
(bsc#967814)

- CVE-2015-5345:Apache Tomcat 中的 Mapper 组件在考虑安全限制和筛选器之前,便处理重定向,其允许远程攻击者通过缺少结尾 /(斜杠)字符的 URL,确定目录是否存在。(bsc#967965)

- CVE-2015-5351:Apache Tomcat 中的 (1) Manager 和 (2) Host Manager 应用程序可建立会话,并发送 CSRF 标记以用于任意新请求,其允许远程攻击者使用标记绕过 CSRF 保护机制。(bsc#967812)

- CVE-2016-0706:Apache Tomcat 未将 org.apache.catalina.manager.StatusManagerServlet 放置于 org/apache/catalina/core/RestrictedServlets.properties 列表,其允许经认证的远程用户通过构建的 Web 应用程序,绕过预期 SecurityManager 限制并读取任意 HTTP 请求,进而发现会话 ID 值。(bsc#967815)

- CVE-2016-0714:Apache Tomcat 中的会话持久性实现错误处理会话属性,其允许经认证的远程用户通过 Web 应用程序,在会话中放置构建的对象,进而绕过预期 SecurityManager 限制,并在特权上下文中执行任意代码。(bsc#967964)

- CVE-2016-0763:在 Apache Tomcat 的 org/apache/naming/factory /ResourceLinkFactory.java 中,setGlobalContext 方法未考虑 ResourceLinkFactory.setGlobalContext 调用器是否获得授权,其允许经认证的远程用户通过设置构建的全局上下文的 Web 应用程序,绕过预期 SecurityManager 限制,并读取或写入任意应用程序数据,或造成拒绝服务(应用程序中断)。
(bsc#967966)

有关完整的变更,请参阅:
http://tomcat.apache.org/tomcat-8.0-doc/changelog.html

此更新从 SUSE:SLE-12-SP1:Update 更新项目导入。

解决方案

更新受影响的 tomcat 程序包。

另见

http://tomcat.apache.org/tomcat-8.0-doc/changelog.html

https://bugzilla.opensuse.org/show_bug.cgi?id=967812

https://bugzilla.opensuse.org/show_bug.cgi?id=967814

https://bugzilla.opensuse.org/show_bug.cgi?id=967815

https://bugzilla.opensuse.org/show_bug.cgi?id=967964

https://bugzilla.opensuse.org/show_bug.cgi?id=967965

https://bugzilla.opensuse.org/show_bug.cgi?id=967966

https://bugzilla.opensuse.org/show_bug.cgi?id=967967

插件详情

严重性: High

ID: 90136

文件名: openSUSE-2016-384.nasl

版本: 2.7

类型: local

代理: unix

发布时间: 2016/3/24

最近更新时间: 2021/1/19

支持的传感器: Nessus Agent

风险信息

VPR

风险因素: High

分数: 7.4

CVSS v2

风险因素: Medium

基本分数: 6.8

矢量: AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS v3

风险因素: High

基本分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

漏洞信息

CPE: p-cpe:/a:novell:opensuse:tomcat, p-cpe:/a:novell:opensuse:tomcat-admin-webapps, p-cpe:/a:novell:opensuse:tomcat-docs-webapp, p-cpe:/a:novell:opensuse:tomcat-el-3_0-api, p-cpe:/a:novell:opensuse:tomcat-embed, p-cpe:/a:novell:opensuse:tomcat-javadoc, p-cpe:/a:novell:opensuse:tomcat-jsp-2_3-api, p-cpe:/a:novell:opensuse:tomcat-jsvc, p-cpe:/a:novell:opensuse:tomcat-lib, p-cpe:/a:novell:opensuse:tomcat-servlet-3_1-api, p-cpe:/a:novell:opensuse:tomcat-webapps, cpe:/o:novell:opensuse:42.1

必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list

补丁发布日期: 2016/3/23

参考资料信息

CVE: CVE-2015-5174, CVE-2015-5345, CVE-2015-5346, CVE-2015-5351, CVE-2016-0706, CVE-2016-0714, CVE-2016-0763